APD/GBA (Belgium) - 82/2020: Difference between revisions

From GDPRhub
No edit summary
mNo edit summary
Line 57: Line 57:


===Facts===
===Facts===
The Federal Public Service of Finance maintain FisconetPlus, an online repository of Belgian tax laws, rulings and guidelines aimed at informing tax payers on taxation questions and at easing their fiscal compliance.  
The Federal Public Service of Finance maintain FisconetPlus, an online repository of Belgian tax laws, rulings and guidelines, aimed at informing tax payers on taxation questions and at easing their fiscal compliance.  


As a part of a revamp in 2018, FisconetPlus was moved to a SharePoint website, hosted in the Belgian federal government’s G-Cloud infrastructure. Thereafter, access to the repository was still free but required logging on to the portal with a Microsoft user account. As a part of their registration process for a Microsoft account, users needed to accept Microsoft’s privacy policy, which by default enabled certain tracking and advertising features.
As a part of a revamp in 2018, FisconetPlus was moved to a SharePoint website, hosted in the Belgian federal government’s G-Cloud infrastructure. Thereafter, access to the repository was still free but required logging on to the portal with a Microsoft user account. As a part of their registration process for a Microsoft account, users needed to accept Microsoft’s privacy policy, which by default enabled certain tracking and advertising features.
Line 79: Line 79:
The FPS Finance offers the possibility to access information on FisconetPlus in a way that does not require the use of any Microsoft user account (whether or not anonymous), namely via the basic search engine on MyMinfin (which does not require any authentication).  
The FPS Finance offers the possibility to access information on FisconetPlus in a way that does not require the use of any Microsoft user account (whether or not anonymous), namely via the basic search engine on MyMinfin (which does not require any authentication).  


But in DPA’s opinion, it is not because the user can choose an access option (with fewer functionalities) where no or less personal data are processed, that the other access option (more user-friendly) where personal data are collected and further processed can enjoy less protection under the GDPR. In other words, it is not because the access to the information is not in itself precluded without the use of a Microsoft user account, that such authentication via a third service provider cannot constitute a breach of Article 6 of the GDPR when it implies that the personal data of the data subjects are not properly processed.
But in the DPA’s opinion, it is not because the user can choose an access option (with fewer functionalities) where no or less personal data are processed, that the other access option (more user-friendly) where personal data are collected and further processed can enjoy less protection under the GDPR. In other words, it is not because the access to the information is not in itself precluded without the use of a Microsoft user account, that such authentication via a third service provider cannot constitute a breach of Article 6 of the GDPR when it implies that the personal data of the data subjects are not properly processed.


In casu, the data processing operations were lacking transparency. The FPS Finance did not offer the most privacy-friendly choice (direct access without authentication) in a clear manner and as a default choice. For that reason, there has been a breach of Article 25 of the GDPR on data protection by design and data protection by default.  
In casu, the data processing operations were lacking transparency. The FPS Finance did not offer the most privacy-friendly choice (direct access without authentication) in a clear manner and as a default choice. For that reason, there has been a breach of Article 25 of the GDPR on data protection by design and data protection by default.  

Revision as of 12:42, 16 November 2021

APD/GBA - 82/2020
LogoBE.png
Authority: APD/GBA (Belgium)
Jurisdiction: Belgium
Relevant Law: Article 6(1) GDPR
Article 25(1) GDPR
Article 35 GDPR
Type: Complaint
Outcome: Upheld
Started:
Decided: 23.12.2020
Published: 23.12.2020
Fine: None
Parties: FPS Finance
National Case Number/Name: 82/2020
European Case Law Identifier: n/a
Appeal: Not appealed
Original Language(s): Dutch
Original Source: autoriteprotectiondonnees.be (in NL)
Initial Contributor: n/a

The Belgian DPA (APD/GBA) held that disclosure of personal data cannot be a condition for an individual to access public information. The DPA therefore reprimanded the Federal Public Service of Finance for requiring citizens to use a Microsoft account to access the Fisconetplus portal of the Federal Public Service of Finance in order to complete their tax declaration.

English Summary

Facts

The Federal Public Service of Finance maintain FisconetPlus, an online repository of Belgian tax laws, rulings and guidelines, aimed at informing tax payers on taxation questions and at easing their fiscal compliance.

As a part of a revamp in 2018, FisconetPlus was moved to a SharePoint website, hosted in the Belgian federal government’s G-Cloud infrastructure. Thereafter, access to the repository was still free but required logging on to the portal with a Microsoft user account. As a part of their registration process for a Microsoft account, users needed to accept Microsoft’s privacy policy, which by default enabled certain tracking and advertising features.

This change within FisconetPlus was examined by the Belgian Data Protection Authority, following a series of complaints. The DPA’s Inspection Service found in February 2019 that the update constituted a breach of the GDPR. The DPA considered that there was no legal basis that would allow the FPS Finance to force citizens to entrust their personal data to a private undertaking as a precondition for accessing public sector information.

In June 2020, the DPA’s Inspection Service issued (for the first time in history!) a provisional measure that obliged the FPS Finance to provisionally suspend FisconetPlus, specifically the access to the repository via Microsoft’s SharePoint portal. This decision followed the recommendation published by the DPA’s in February 2019 on the obligation to create a user account with Microsoft for the purpose of consulting public service applications.

As a result, the FPS Finance deactivated the access to its FisconetPlus portal via a Microsoft account, which however remained accessible through other means of access. The FPS Finance promised to rewrite FisconetPlus and switch from Microsoft tools to a platform developed internally and hosted entirely on its own infrastructure. Identification and authentication would then be done via the Federal Authentication Service ("FAS”); the creation of a Microsoft account would no longer be a requirement. But for budgetary and human resources reasons, temporary solutions were to be implemented, namely a simple consultation via MyMinfin without authentication and a consultation via the creation of a Microsoft account as an anonymous user (which does not require the transmission of data, so that neither the FPS nor Microsoft knows the user).

In the meantime, the file was being thoroughly examined by the DPA’s Litigation Chamber, who – in its decision of 23 December 2020 – confirmed the GDPR violations and issued a reprimand to the FPS Finance (pursuant to the Belgian Data Protection Act of 30 July 2018, the DPA is not empowered to impose administrative fines to public bodies).

Dispute

Holding

The DPA considered:

1) Basic principles

The FPS Finance offers the possibility to access information on FisconetPlus in a way that does not require the use of any Microsoft user account (whether or not anonymous), namely via the basic search engine on MyMinfin (which does not require any authentication).

But in the DPA’s opinion, it is not because the user can choose an access option (with fewer functionalities) where no or less personal data are processed, that the other access option (more user-friendly) where personal data are collected and further processed can enjoy less protection under the GDPR. In other words, it is not because the access to the information is not in itself precluded without the use of a Microsoft user account, that such authentication via a third service provider cannot constitute a breach of Article 6 of the GDPR when it implies that the personal data of the data subjects are not properly processed.

In casu, the data processing operations were lacking transparency. The FPS Finance did not offer the most privacy-friendly choice (direct access without authentication) in a clear manner and as a default choice. For that reason, there has been a breach of Article 25 of the GDPR on data protection by design and data protection by default.

The FPS Finance did not explain neither transparently enough to (potential) data subjects how their personal data would further be used by Microsoft. There is clearly data flows to and from Microsoft, which have not been transparently brought to the attention of the user. This includes the authentication data and the email address of the data subject.

The fact that an anonymous Microsoft account could be used to access FisconetPlus (with arbitrarily allocated login data) also proves by definition that the access option through a new or already existing Microsoft account implies the processing of more personal data than strictly necessary within the meaning of Article 5(1)(c) of the GDPR. The FPS Finance therefore does not comply with the data minimization principle.

Moreover, the DPA ruled that as a matter of principle, no authentication mechanism or identification obligation of any kind – government controlled or otherwise – should be necessary to access information that should be publicly available; and that personalized services (storing favorite sources, automated warnings, etc.) should not require systematic unique identification of the users. The DPA therefore considered that the principle of proportionality has been breached.

2) Failure to conduct a Data Protection Impact Assessment

Given the potential risks to the rights and freedoms of the data subjects, in particular with regard to the security of the platform (Article 32 of the GDPR), the FPS Finance should at least have conducted a Data Protection Impact Assessment before putting such a system in place.

3) Use of cookies

In order to create an account, users must accept Microsoft’s privacy and cookies policies as well as its standard cookie settings. These standard settings do not respect the principles of data protection by design and data protection by default, since they let Microsoft collect a large series of data on its users.

The use of a Microsoft account involved the placement of non-essential cookies for which no legally valid consent was obtained, given that the cookie banner used on the website included consent by means of “further browsing”. It stated that if the user continued browsing, he/she accepts the use of cookies. This so-called "further browsing" was considered by the FPS Finance to be a legally valid consent for the use of cookies. There must however be a clear statement or active action on the part of the user in order for him/her to give free, specific, clear and unambiguous consent in light of the GDPR.

Not only the technique of "further browsing", but also the cookie policy raises doubts, as there was a discrepancy between the cookies listed in the cookie policy and the cookies actually loaded when the website was opened.

Comment

Share your comments here!

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the Dutch original. Please refer to the Dutch original for more details.

1/48
Geschillenkamer
Beslissing ten gronde 82/2020 van
23 december 2020
Dossiernummer : DOS-2019-05498
Betreft : Klacht wegens het noodzakelijk moeten aanmaken van een Microsoft account
voor het downloaden van een document bij de FOD Financiën
De Geschillenkamer van de Gegevensbeschermingsautoriteit, samengesteld uit de heer Hielke
Hijmans, voorzitter en de heren Jelle Stassijns en Christophe Boeraeve, leden;
Gelet op Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016
betreffende de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn
95/46/EG (algemene verordening gegevensbescherming), hierna AVG;
Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, hierna
WOG;
Gelet op het reglement van interne orde, zoals goedgekeurd door de Kamer van
Volksvertegenwoordigers op 20 december 2018 en gepubliceerd in het Belgisch Staatsblad op
15 januari 2019;
Gelet op de stukken van het dossier;
.
.
.
Beslissing ten gronde 82/2020- 2/48
heeft de volgende beslissing genomen inzake:
- Dhr. Willem Debeuckelaere, met woonplaats te […] hierna “de klager”, en,
- De FOD Financiën, met ondernemingsnummer 0308.357.159, en met hoofdzetel te 1030
Brussel (Schaarbeek), Koning Albert II Laan 33 bus 10 (North Galaxy), hierna “verweerder”;
hebbende als raadslieden Mr. Agnès Maqua, advocate, en Mr. Willem-Jan Cosemans,
advocaat, beiden kantoor houdende te 1170 Brussel, Terhulpsesteenweg 166.
1. Feiten en procedure
De klacht
1. In zijn klacht dd. 24 oktober 2019 uit de klager zijn bezwaar tegen een praktijk op de website van
de FOD Financiën. De praktijk vereist van burgers (als betrokkenen) om zich aan te melden met
een Microsoft1 gebruikersaccount teneinde toegang te krijgen tot een bepaalde brochure, meer
bepaald “factureren met vrijstelling van BTW” (en deze desgevallend te kunnen downloaden).
Deze praktijk zou volgens de klager problematisch zijn in het licht van de AVG en meer specifiek
in het licht van de Aanbeveling van 6 februari 2019 van deze Autoriteit,2 betreffende “het opleggen
van de verplichte aanmaak van een gebruikersaccount bij Microsoft voor het raadplegen van
toepassingen van overheidsdiensten”.
2. De klager had voor het neerleggen van zijn klacht reeds zelf contact opgenomen met de verweerder
omtrent diens bezwaar, en voegt hiervan ook stukken toe bij zijn klacht
3. Op 26 september 2019 verzocht de klager de verweerder om informatie omtrent de praktijk die het
voorwerp uitmaakt van de litigieuze klacht. Het betreft hier o.a. de vraag naar het al dan niet van
toepassing zijn van de voornoemde aanbeveling.
4. De verweerder communiceerde dezelfde dag nog, en vroeg de klager om de hyperlink in kwestie te
verduidelijken. De klager bezorgde de exacte hyperlink aan de verweerder op 3 oktober 2019. De
klager voorzag bijkomend enkele schermopnames om zijn standpunt te staven.

1 Wanneer in de voorliggende beslissing over ‘Microsoft’ wordt gesproken, is dit de rechtspersoon Microsoft Corporation met
zetel One Microsoft Way, Redmond (WA 98052-6399) in de Verenigde Staten van Amerika, met een Belgische gerelateerde
vestiging Luchthaven Brussel Nationaal ZN, Gebouw 1K, 1930 Zaventem en ondernemingsnummer in de Kruistpuntbank voor
ondernemingen: 0437.910.359.
2 Kenniscentrum Gegevensbeschermingsautoriteit, Aanbeveling 1/2019, Beschikbaar via:
https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.-01-2019.pdf
Beslissing ten gronde 82/2020- 3/48
5. Op 15 oktober 2019, na raadpleging van de “Dienst voor Informatieveiligheid en Bescherming van
de Persoonlijke Levenssfeer” van de verweerder, liet de verweerder weten dat er gewerkt werd
aan een nieuwe ICT-toepassing. De doelstelling was te komen tot een systeem om via MyMinfin
toegang te verlenen tot het openbaar gedeelte van Fisconetplus. Identificatie en authenticatie zou
dan gebeuren via de federale authenticatieservice “FAS” waardoor het aanmaken van een
Microsoft-account niet langer een vereiste zou zijn. Dit systeem zou begin 2020 operationeel
moeten zijn.
In tussentijd, zo stelde de verweerder, was er een overgangsoplossing ingevoerd sinds 31 januari
2019 waarbij de gebruiker de mogelijkheid had om toegang te krijgen tot deze documentatie met
een anonieme account, aangemaakt via een derde dienstenaanbieder, namelijk Microsoft.
6. Op 29 oktober 2019 wordt de klacht ontvankelijk verklaard door de Eerstelijnsdienst en aanhangig
gemaakt bij de Geschillenkamer.
Het onderzoek van de Inspectiedienst
7. Op 29 november 2019 heeft de Geschillenkamer een onderzoek gevraagd bij de Inspectiedienst. In
haar verzoek overeenkomstig artikel 94, 1° WOG stelt de Geschillenkamer het volgende: “De
geschillenkamer heeft […] vastgesteld dat er onduidelijkheid is omtrent de stelling van de FOD
Financiën dat het bij wijze van overgangsregeling mogelijk is om toegang te krijgen tot de
documentatie met een anonieme account aangemaakt door Microsoft zonder verzameling van
persoonlijke gegevens, meer bepaald in hoeverre het al dan niet mogelijk is dat die account wordt
aangemaakt door Microsoft zonder verzameling van persoonlijke gegevens, meer bepaald in
hoeverre het al dan niet mogelijk is dat die account daadwerkelijk anoniem is. “
8. Nadat het dossier hierna bij de Inspectiedienst aanhangig was gemaakt op grond van artikel 63, 2°
WOG, schrijft de Inspectiedienst op 5 december 2019 rechtstreeks naar de voorzitter van het
directiecomité van de verweerder om enkele bijkomende inlichtingen te bekomen. Het betreft de
volgende vragen (schermafbeelding van de brief van de Inspectiedienst): 
Beslissing ten gronde 82/2020- 4/48
9. Op 10 januari 2020 ontvangt de Inspectiedienst van de GBA een geschreven reactie van de
Verweerder. De antwoorden van de verweerder luiden als volgt: “
(Vraag 1) “Bij ontvangst van de aanbeveling van de Gegevensbeschermingsautoriteit, heeft
de FOD Financiën in een eerste fase
1. via het portaal MyMinfin toegang verschaft tot een basiszoekmotor, zonder identificatie
van de gebruiker (inwerkingtreding in het eerste trimester 2019),
2. een anonieme toegang verschaft via een anonieme account (inwerkingtreding in het
tweede trimester 2019). In een tweede fase wordt het project opgestart voor de
ontwikkeling van een versie die de openbare inhoud van Fisconetplus onder MyMinfin
plaatst. Deze definitieve versie, waarvoor men geen anonieme account nodig heeft maar
die een authenticatie door middel van een FAS-identificatie mogelijk maakt, zal alle
andere huidige oplossingen voor het externe publiek van Fisconetplus vervangen, dit wil
zeggen de Fisconetplus-versies met Microsoft-account, de eenvoudige zoekmotor via
MyMinfin en de versie met anonieme Microsoft-account.”
(Vraag 2) “Er zijn verschillende gevallen mogelijk: 
Beslissing ten gronde 82/2020- 5/48
1. De gebruiker heeft de toegang tot het portaal al geopend (via een geregistreerde account
of de anonieme oplossing).In dat geval zal klikken op een link rechtstreeks toegang geven
tot het document
2. De gebruiker heeft nog met de toegang tot het portaal geopend, hij ontvangt een bericht
waarin wordt gevraagd zich te identificeren. Ofwel heeft de gebruiker een account en
identificeert hij zich. Hij heeft toegang tot de documenten , Ofwel heeft de gebruiker geen
account of wenst hij geen account aan te maken, de gebruiker kan de URL kopiëren en
de mogelijkheid van een anonieme toegang via MyMinFin zoals vermeld in antwoord 2
gebruiken
3. De gebruiker kan ook de titel van het document dat hij wenst te raadplegen noteren en
de zoekmotor die via MyMinfin toegankelijk is, gebruiken.”
(Vraag 3 en 4) “Begin januari 2019 werd er een anonieme toegang voorzien tot FisconetPlus.
De essentie hiervan is dat er geen persoonlijke gegevens meer worden gevraagd van de
persoon die toegang wenst te krijgen tot de applicatie. Bijgevolg kan er ook geen probleem
optreden bij de verwerking van gegevens die er niet zijn. Het verwijst naar antwoord 2 voor
wat betreft het inhoud van de anonieme Microsoft-account.”
(Vraag 5) “De beslissing om een nieuwe technische omgeving te bouwen om toegang te
verkrijgen tot Fisconet, zonder dat men gebruik hoeft te maken van een Microsoft-account,
werd intern genomen door de FOD Financiën op 14 januari 2019 (na voorbereidende
vergaderingen in december2018). Dit besluit werd in aanwezigheid van de DPO, gezamenlijk
aangenomen door de Voorzitter van het Directiecomité, de Directeur van de ICTondersteuningsdienst en de Directeur belast met de leiding van de Algemene Administratie
voor Beleidsexpertise en-ondersteuning. Het besluit werd dezelfde dag aan Microsoft
medegedeeld. Aangezien de tijdelijke en definitieve technische oplossingen werden genomen
in overeenstemming met aanbeveling nr. 91/2019 van 6 februari 2019, was het met nodig om
een verdere aanbeveling aan de Voorzitter van het Directiecomité te richten. Daarentegen
werden midden februari 2019 (de 12
e
, 13
e
, 19
e
 en 21
e
) e-mails uitgewisseld tussen de
Voorzitter van het Directiecomité en de DPO betreffende de bovengenoemde (nr 91/2019)
aanbeveling. De aanbeveling werd gecommuniceerd met de beslissing om de toegang tot
Fisconet aan te passen. Bovendien heeft de DPO de Voorzitter van het Directiecomité per email geïnformeerd op 23 en 24 oktober 2019, enerzijds, van de verzoeken van de [klager] en
anderzijds van de klacht van de [klager] bij de Gegevensbeschermingsautoriteit. “
10. Op 17 januari 2020 richt de Inspectiedienst een brief specifiek aan de functionaris voor
gegevensbescherming (hierna: FG) van de verweerder met enkele vragen. Hierbij wordt door de
Inspectiedienst gesteld dat er geen concreet antwoord werd gegeven op de vragen 3, 4 en 5. De 
Beslissing ten gronde 82/2020- 6/48
FG van de verweerder wordt aangespoord om deze antwoorden over te maken alsook om stukken
over te maken die het standpunt van verweerder dat “de (tijdelijke) oplossingen in
overeenstemming zijn met aanbeveling 1/2019” staven.
11. Op 4 februari 2020 verschaft de FG van de verweerder een antwoord aan de Inspectiedienst. De
kernelementen uit dat antwoord kunnen worden samengevat als volgt:
- Wat betreft vraag 3 en 4: “de ICT Support Service heeft bevestigd dat de gebruiker op geen
enkel moment informatie over zichzelf geeft, Microsoft heeft dan ook geen persoonlijke of
privé-informatie. ICT heeft mij geen kopieën van documenten, e-mails, . met Microsoft
verstrekt.”
3
- Wat betreft vraag 5 stelt de FG van de verweerder: “Ik heb zelf het ontwerp van het antwoord
op vraag 5 gemaakt en ik acht het een concreet antwoord. Ik kan geen documenten
verstrekken die niet bestaan.“
4
- Wat betreft de aanbeveling van de GBA stelt de verweerder dat de interne beslissing van de
verweerder (m.b.t. het overschakelen van Microsoft tools naar een intern ontwikkelde
oplossing) dateert van 14 januari 2019. Dit is vóór de aanbeveling van de GBA die dateert van
6 februari 2019.
- De FG van de verweerder stelt dat deze nieuwe oplossingen compatibel zijn met de
aanbeveling. De voorgaand gebruikte techniek was dit echter niet. De FG stelt: “Tijdens de
analyse van het tweede ontwerp van de aanbeveling die de GBA op 7 februari 2019 aan de
FOD Financiën voorlegde, stelde ik vast dat de eerder gebruikte technische oplossing niet
verenigbaar was met dit ontwerp, maar dat de beslissingen i.v.m. de aanpassingen die de
FOD Financiën nam, in overeenstemming waren met de aanbeveling”.
5 Meer bepaald valt dit
binnen de grenzen van §2, 3 en 4, punt 15 van de aanbeveling.
- Vervolgens stelt de FG dat: “Aangezien deze nieuwe technische oplossingen budgettaire (meer
dan 180.000 euro) en personele middelen vereisen, werden twee tijdelijke oplossingen zo snel
mogelijk geïmplementeerd, namelijk een eenvoudige raadpleging via MyMinfin, en een
raadpleging via het aanmaken van een anonieme account bij Microsoft. De geconsolideerde
versie van de raadpleging via MyMinfin zonder authenticatie werd eind januari 2020 in
productie genomen. De versie met authenticatie is gepland voor eind maart 2020. Er is geen

3 Originele tekst: « le Service d'encadrement ICT a confirmé qu’à aucun moment l'utilisateur ne donne une quelconque
information sur lui-méme, Microsoft ne dispose donc pas d’information personnelle ou privée ICT ne m’a pas fourni de copie de
documents, mails, . avec Microsoft ».
4 Originele tekst « J'ai moi-meme fait le projet de reponse a la question 5 et j’estime qu’il y est repondu concretement. Je ne
peux fournir des documents qui n'existent pas
5 Originele tekst: « Lors de l'analyse du deuxième projet de recommandation soumis par l'APD au SPF Finances le 7 février
2019, j'ai effectivement constate que la solution technique utilisée auparavant n'était pas compatible avec ce projet mais que
les décisions d'adaptation prises par le SPF Finances allaient, elles, dans le sens de la recommandation »
Beslissing ten gronde 82/2020- 7/48
evaluatie van de voorgestelde tijdelijke oplossingen uitgevoerd. Een evaluatie kan
plaatsvinden na de uitvoering van de 2 aangeboden definitieve toegangsoplossingen.”6
- Tot slot volgt een korte uiteenzetting omtrent de onafhankelijkheid van de FG en hoe die
gepositioneerd is bij de verweerder.
12. De Inspectiedienst gaat vervolgens over tot het uitvoeren van enkele technische vaststellingen.
Het technisch onderzoeksrapport volgt op 28 april 2020, het verslag van het onderzoek op 11 mei
2020. De Inspectiedienst deed een reeks van vaststellingen in de periode tussen 7 april en 20 april
2020.
Het verslag van de Inspectiedienst
13. Het verslag van het onderzoek van de Inspectiedienst wordt overgemaakt aan de Geschillenkamer
op 11 mei 2020 overeenkomstig artikel 91, §2WOG.
14. De eerste twee vaststellingen (vaststelling 1 en 2) gemaakt door de inspectiedienst betreffen het
bestaan van drie toegangsmogelijkheden tot de dienst FiscnonetPlus via twee websites. Er zouden
drie manieren (geweest) zijn om toegang te krijgen tot FisconetPlus:
- Toegang via de website www.myminfin.be met authenticatie via de FAS (Het federale
authenticatiesysteem);
- Toegang via de website www.myminfin.be zonder authenticatie (het openbaar gedeelte van
Fisconetplus);
- Toegang via de algemene website van de FOD Financiën met een persoonlijke Microsoft
account (“Sharepoint Online toegang”).
De Inspectiedienst kaart hierbij aan dat het om een complex toegangsschema gaat.
15. In vaststellingen 3 en 4 neemt de Inspectiedienst de kwalificatie als verwerkingsverantwoordelijke,
in de zin van art. 4, 7) AVG, van de verweerder onder de loep. Hier besluit de Inspectiedienst dat
de verweerder verwerkingsverantwoordelijke is voor de verwerkingen die plaatsvinden via het
geïntegreerde Microsoft-platform op haar website.

6 Originele tekst : « Ces nouvelles solutions techniques nécessitant des moyens budgétaires (dépassant les 180.000 €) et
humains, deux solutions temporaires ont été mises en œuvre le plus rapidement possible à savoir - une consultation simple via
MyMinfin , - une consultation via la création d’un compte anonyme chez Microsoft. La version consolidée de consultation via
MyMinfin sans authentification a été mise en production fin janvier 2020 La version avec authentification est prévue pour fin
mars 2020. Il n'y a pas eu d’évaluation des solutions temporaires proposées Une évaluation pourra avoir lieu après la mise en
œuvre des 2 solutions définitives d'accès offertes ».
Beslissing ten gronde 82/2020- 8/48
16. Vaststellingen 5 t.e.m. 7 van het onderzoeksverslag hebben betrekking op het gebruik van cookies.
Deze vaststellingen sluiten aan bij enkele bevindingen in het technisch rapport.
Het technisch rapport onderzocht in eerste instantie de website met volgende url:
https://eservices.minfin.fgov.be/myminfin-web/pages/fisconet. Deze website maakt op het moment
van de technische vaststellingen gebruik van een cookie-banner die stelt dat als een gebruiker
verder surft, die laatste het gebruik van cookies aanvaardt (zgn. “further browsing”). Er moet een
duidelijke verklaring of actieve handeling zijn van de gebruiker om een vrije, specifieke, duidelijke
en ondubbelzinnige toestemming te krijgen in het licht van de AVG.
Niet alleen de techniek van “further browsing”, maar ook het cookiebeleid van de verweerder doet
vragen rijzen bij de Inspectiedienst. Zij stelt hierbij het volgende vast: “In het beleid is er geen
onderscheid tussen de verschillende soorten cookies of ‘traceurs’. [Het is] onmogelijk voor de
[betrokkene] om informatie omtrent de verschillende cookies te verkrijgen, maar ook omtrent
cookies waarvoor [de betrokkene] het recht heeft om zijn toestemming te geven (niet-essentiële
cookies).”7 Uit een vergelijking tussen de in het cookiebeleid opgesomde cookies en de cookies
geladen bij het openen van de website, blijkt dat de eerste niet volledig (exhaustief) is en niet
volledig correct.
Daarnaast beschouwt het technisch rapport ook de website met url:
https://finances.belgium.be/fr/E-services/fisconetplus. Ook hier stelt de Inspectiedienst een situatie
inzake cookies vast die volgens haar problematisch is in het licht van de AVG. Er bestaat immers
een discrepantie tussen de in het cookiebeleid opgesomde cookies en de cookies effectief geladen
bij het openen van de website.
Het verslag van het onderzoek van de inspectiedienst formuleert drie problemen i.v.m. cookiegebruik door de verweerder.
- Ten eerste gaat de verweerder uit van ‘further browsing’ als geldige toestemming voor het
gebruik van cookies op beide websites, ook al zijn die cookies niet noodzakelijk voor de goede
werking van de website(s). Dit ‘further browsen’ wordt door de verweerder in haar ‘cookiebanner’ echter wel als een rechtsgeldige toestemming beschouwd. Dergelijk verder gebruik is
echter niet hetzelfde als toestemming.
- Ten tweede stelt de Inspectiedienst een gevolg hiervan vast: aangezien er geen rechtsgeldige
toestemming wordt gevraagd voor het plaatsen van cookies, kan dit ook niet bewezen worden,

7 Vrije vertaling van het Franstalige technisch verslag: “Dans la politique, il n’y a aucune différentiation entre les différents types
de cookies ou traceurs. Impossible pour l’utilisateur d’avoir l’information sur les différents cookies, mais aussi sur les cookies
pour lesquels il a droit d’exprimer son consentement. (Cookies non strictement nécessaire)”.
Beslissing ten gronde 82/2020- 9/48
waardoor de verantwoordingsplicht niet wordt nageleefd. Dit is problematisch in het licht van
art. 5, lid 2 en art. 7, lid 1 AVG.
- Ten derde worden websitebezoekers niet geïnformeerd hoe een gegeven toestemming kan
worden ingetrokken en is er geen mechanisme om de toestemming in te trekken. Deze
vaststelling geldt opnieuw voor beide websites. Hierbij wordt verwezen naar Art. 7, lid 3 AVG
en ook naar beslissing 12/2019 van de Geschillenkamer.
8
17. Vaststellingen 8 t.e.m. 11 van het onderzoeksverslag omvatten enkele bevindingen inzake de
anonimiteit van de betreffende gebruikersaccounts en het eerlijkheidsbeginsel. Zo zal een
bezoeker van de website “https://finances.belgium.be/fr/E-services/fisconetplus” de keuze krijgen om
een persoonlijke account te maken waarbij de daar voorziene informatie de indruk wekt dat hij
een “anonieme account” kan aanmaken.
18. Het technisch onderzoek heeft daarentegen uitgewezen dat er geen sprake zou zijn van een
‘anonieme account’. Indien de gebruiker de optie “een vlugge opzoeking (anoniem)” kiest, komt
hij terug op de website www.myminfin.be. Het enige werkende alternatief op de tweede website
is volgens de Inspectiedienst een account bij Microsoft te gebruiken. Bovendien verwijst het
cookiebeleid op de algemene website van de FOD Financiën naar het gebruik van de zogezegd
statistische cookies van google analytics (types “_ga” “_gat” en “_gid”) die worden gebruikt om
gebruikers van elkaar te onderscheiden zodat volgens het technisch onderzoeksrapport geen
sprake kan zijn van anonieme accounts.
9
19. Vervolgens stelt de Inspectiedienst (vaststelling 8) vast dat de informatie die de verweerder op 15
juni 2018 verschafte aan de GBA in verband met de onmogelijkheid van anonieme aanmelding op
het Sharepoint platform van Microsoft niet strookt met de voormelde informatie die de verweerder
verschaft op haar website www.financien.belgium.be aan de gebruikers en de vaststellingen in
het technisch verslag. Bovendien worden de bezoekers van de website van de verweerder niet
correct geïnformeerd over het feit dat Microsoft geen anonieme toegangen op haar Sharepoint
Online platform toelaat, zoals eerder meegedeeld aan de GBA (vaststelling 9 verslag
Inspectiedienst).
20. Daarnaast is de Microsoft-account niet werkelijk anoniem omwille van cookies geplaatst door de
verweerder (vaststelling 10). Op die manier zijn de bewoordingen “een vlugge opzoeking
(anoniem)” niet werkelijk ‘anoniem’ waardoor zij een verkeerde voorstelling van de zaak geven
naar de gebruiker toe (vaststelling 11).

8 Beslissing van de Geschillenkamer 12/2019 van 17 december 2019. 
Beslissing ten gronde 82/2020- 10/48
21. De Inspectiedienst meent dat de combinatie van deze elementen tot de conclusie leidt dat de
verweerder de betrokkenen continu onjuist informatie verschaft. Hierdoor zou de verweerder het
eerlijkheidsbeginsel ex artikel 5, lid 1, punt a) AVG schenden.
22. In vaststelling 13 stelt de Inspectiedienst dat er een schending is van het doelbindingsbeginsel
(artikel 5, lid 1, punt b) en artikel 32 AVG). De Inspectiedienst stelt immers vast dat de verweerder
meer persoonsgegevens dan noodzakelijk levert aan Microsoft, waaronder het persoonlijk emailadres (hetgeen Microsoft gebruikt om de uitnodigingsmail te sturen) en de betrokkene hier
niet over verwittigt.
23. In vaststelling 14 meent de Inspectiedienst dat de verweerder de informatieplicht in de zin van
artikel 13, lid 1, punt f) AVG schendt. Blijkens de vaststellingen in het technisch onderzoeksrapport
van de Inspectiedienst is er verkeer van en naar Microsoft, wat niet transparant is ter kennis
gebracht van de gebruiker. Het gaat onder meer om de authenticatiegegevens en het e-mailadres
van de betrokkene en diens profielgegevens (de naam en voornaam van de betrokkene). Deze
gegevensstromen worden verborgen voor de gebruiker.
24. Vaststelling 15 betreft de transparantieplicht die rust op de verweerder alsook de verplichting om
de gebruiker op begrijpelijke wijze, in duidelijke en eenvoudige taal, te informeren (respectievelijk
art. 5, lid 1, punt a) en art. 12, lid 1, AVG). De Inspectiedienst stelt in de eerste plaats vast dat er
sprake is van een onduidelijke gebruikershandleiding over de drie toegangsmogelijkheden.
Evenmin zou het op basis van de beschikbare informatie duidelijk zijn voor de gebruiker wat het
verschil is tussen die drie toegangsmogelijkheden. Ook los van de handleiding zijn de keuzes voor
de gebruiker niet eenvoudig en duidelijk uitgelegd. De Inspectiedienst benadrukt in het
onderzoeksverslag dat de informatie te gefragmenteerd en verspreid is waardoor de
toegangsprocedure als een ‘informatiedoolhoof’ kan worden gezien. Tot slot wijst de
Inspectiedienst ook op de bevinding dat bij de keuze voor de tweede website de
persoonsgegevens van betrokkenen worden doorgestuurd naar Microsoft. Er bestaat dus wel
degelijk een verschil tussen beide websites, zo de Inspectiedienst.
25. De Inspectiedienst stelt in het onderzoeksverslag dat de verweerder de verantwoordingsplicht ex
art. 5, lid 2 AVG niet naleeft. In het verslag van de Inspectiedienst wordt hieromtrent het volgende
gesteld: “De Inspectiedienst stelde de FOD Financiën derhalve bij schrijven van 5 december 2019
de vraag welke waarborgen Microsoft haar verschafte in dat verband, en of hiervan een bewijs
kon worden voorgelegd (stuk 7). Initieel kreeg zij geen antwoord op deze vraag. Pas na een rappel
kreeg zij het antwoord van de functionaris dat haar geen stukken werden meegedeeld door de
ICT dienst, hetgeen geen rechtstreeks antwoord op de vraag is (pagina 1 van stuk 12). De
Inspectiedienst beschouwt dit antwoord als een aanwijzing van een miskenning van de 
Beslissing ten gronde 82/2020- 11/48
medewerkingsplicht (weigeren van antwoord, artikel 31 AVG), en een bewijs van een schending
van de verantwoordingsplicht (artikel 5.2 AVG).”.
26. Vaststelling 16 betreft de vaststellingen van de Inspectiedienst omtrent de naleving van het
principe van minimale gegevensverwerking overeenkomstig art. 5, lid 1, punt c) AVG door de
verweerder. De Inspectiedienst stelt vast dat de GBA in haar Aanbeveling 01/2019 erop gewezen
heeft dat een identificatieplicht enkel kan worden opgelegd als er sprake is van het bewijs van
een noodzaak en een duidelijke rechtsgrond onder artikel 6 AVG (randnummers 10 en 11 van de
voormelde aanbeveling). Vervolgens concludeert de Inspectiedienst dat de verweerder niet
voldoet aan deze aanbeveling omwille van de volgende redenen:
1. Er is onduidelijkheid over het eindscenario voor toegang tot FisconetPlus. Bijgevolg is het
moeilijk om de proportionaliteit hiervan te beoordelen.
2. Het vervangen van de drie verschillende toegangsmogelijkheden door één enkele, nl. het FAS
authenticatiesysteem, is niet conform randnr. 10 van aanbeveling 01/2019.
3. Het vervangen van de drie verschillende toegangsmogelijkheden door twee opties mag niet
leiden tot een verkeerde voorstelling van de zaak. Zo moet de verweerder aandacht hebben
voor het feit dat hij die twee opties niet zomaar mag voorstellen als alternatieven (één
anoniem, één niet-anoniem), terwijl de facto de gebruiker (via het gebruik van cookies) steeds
wordt geïdentificeerd (ongeacht de optie die hij/zij kiest).
4. De toegang tot de Microsoft Cloud diensten dient te gebeuren via een Microsoft-account en
is, op zich, niet noodzakelijk.
5. De noodzaak om tegelijkertijd te blijven werken met twee verschillende authenticatiediensten
(via de FAS en via Microsoft) is niet voorhanden.
6. Het gedurende meer dan een jaar na de publicatie van de aanbeveling van de GBA nog blijven
werken met de dienst van Microsoft kan men evenmin blijven uitleggen als een tijdelijke
“overgangssituatie”, nu deze reeds meer dan een jaar lang aansleept.
De Inspectiedienst meent dat het beginsel van minimale gegevensverwerking alsook het
proportionaliteitsbeginsel geschonden is.
27. Vaststelling 17 - In het licht van art. 25 AVG, stelt de Inspectiedienst dat de verweerder de meest
privacy-vriendelijke keuze (directe toegang tot de Fisconetplus kennisdatabase zonder
authenticatie) niet op duidelijke wijze en als standaardkeuze aanbiedt.. Om die reden is er volgens
de Inspectiedienst een inbreuk op artikel 25 omtrent gegevensbescherming door ontwerp en
gegevensbescherming door standaardinstellingen.
Beslissing ten gronde 82/2020- 12/48
28. Vaststellingen 18 en 19 van het onderzoeksverslag hebben betrekking op het niet uitvoeren van
een gegevensbeschermingseffectbeoordeling overeenkomstig art. 35 AVG door de verweerder (in
het Engels beter bekend als een ‘data protection impact assessment’, en daarom hierna afgekort
als DPIA). De FG van de verweerder stelt in dit verband ten aanzien van de Inspectiedienst: “Na
onderzoek lijkt het ons dat er geen gegevensbeschermingseffectbeoordeling (DPIA) dient te
worden uitgevoerd, daar het niet waarschijnlijk is dat de behandeling in kwestie een groot risico
inhoudt voor de rechten en vrijheden van de betrokken personen, gezien de aard, zijn reikwijdte
en zijn context.” De FG meent met andere woorden dat de relevante voorwaarden die nopen tot
het uitvoeren van zo’n DPIA niet vervuld zijn.
De Inspectiedienst stelt op basis van haar eigen analyse, alsook op basis van de aanbeveling
01/2019 van de GBA, dat er voor de litigieuze verwerkingen (het aanmaken van een Microsoftaccount voor toegang tot Fisconet Plus) een DPIA had moeten plaatsvinden.
29. Vaststellingen 20 en 21 hebben betrekking op de positie van de FG van de verweerder (art. 38,
lid1 AVG en art. 39 AVG). De Inspectiedienst stelt vast dat de verweerder een inbreuk heeft
gepleegd op artikel 38, lid1 AVG , aangezien haar FG niet tijdig werd betrokken bij de aanpassing
van de Fisconetplus-dienst (Vaststelling 20). Ook verwijst de Inspectiedienst naar de
correspondentie tussen haar en de verweerder, hieruit blijkt geen duidelijk onderscheiden
standpunt (advies, standpunt, …) te bestaan tussen dat van de FG en het antwoord van het
voorzitterschap van de verweerder (Vaststelling 21).
30. In licht van art. 31 AVG en art. 66 § 2 WOG, rechtsbepalingen die de verplichting tot medewerking
van de verwerkingsverantwoordelijke uiteenzetten, stelt de Inspectiedienst in het
onderzoeksverslag dat de verweerder dient samen te werken met de toezichthoudende autoriteit
bij het vervullen van haar taken. Dit impliceert dat de antwoorden die worden gegeven aan de
GBA terdege moeten worden onderzocht en niet manifest onwaar en potentieel misleidend mogen
zijn. De Inspectiedienst ontving op sommige van zijn vragen in eerste instantie geen antwoord, in
tweede instantie een manifest onjuist antwoord, wat zij dan ook problematisch acht in het licht
van de medewerkingsplicht.
31. Op 18 mei richt de Inspectiedienst een bevel tot voorlopige opschorting aan de verweerder
overeenkomstig artikel 70 WOG. Hierbij wordt de verweerder aangemaand om FisconetPlus,
specifiek de toegang hiertoe via het Gcloudbelgium.sharepoint.com platform van Microsoft, op te
schorten. De maatregel geldt voor een duur van 3 maanden vanaf de datum van ontvangst van
het aangetekend schrijven. Er werd geen beroep tegen deze voorlopige maatregel ingesteld
overeenkomstig artikel 71, lid 1 WOG door de verweerder.
Beslissing ten gronde 82/2020- 13/48
32. Op 2 juni 2020 deelt de Voorzitter van het Directiecomité van de verweerder aan de Inspectiedienst
mee dat de toegang tot FisconetPlus via het Gcloudbelgium.sharepoint.com platform vanaf 29 mei
2020 werd gedeactiveerd en dat voortaan de toegang nog enkel mogelijk is via het MyMinfin
portaal.
De procedure voor de geschillenkamer
33. Op 11 mei 2020 maakt de Inspectiedienst het dossier over aan de Geschillenkamer.
34. Op 4 juni 2020 worden de partijen op de hoogte gebracht van de beslissing van de Geschillenkamer
om het dossier ten gronde te behandelen overeenkomstig artikel 98 e.v. WOG. In de brief aan de
partijen worden de conclusietermijnen vastgelegd waarbinnen de conclusies met verweermiddelen
moeten worden neergelegd. De raadslieden van de verweerder verzoeken een verlenging van de
conclusietermijnen op 3 juli 2020, waarna de Geschillenkamer overging tot het opnieuw
vastleggen van de conclusietermijnen op een latere datum, gezien zij het verzoek van de
verweerder daartoe redelijk achtte.
35. Op vrijdag 14 augustus 2020 maakte de verweerder haar conclusie van antwoord over. Door een
technisch probleem bereikte het e-mailbericht met de conclusie en haar bijlagen de
Geschillenkamer niet tijdig. De klager ontving de conclusie wél op 14 augustus 2020.
36. Gezien de klager tijdig kennis kon nemen van de conclusie en stukken van de verweerder, en op
basis hiervan zelf een repliekconclusie kon indienen, was het niet noodzakelijk de termijnen voor
conclusies te heropenen. De Geschillenkamer heeft bij de vaststelling van het technisch probleem,
de conclusie van antwoord van de verweerder opgevraagd, en vervolgens ontvangen en
toegevoegd aan het dossier op 7 oktober 2020.
De conclusie van de klager
37. Op 4 september 2020 legt de klager zijn conclusie neer. De klager is de voormalige voorzitter van
de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (hierna: CBPL). en later de
GBA.
38. De klager stelt dat hij beoogt de toegang tot overheidsinformatie te vrijwaren van de tussenkomst
van een derde dienstenaanbieder. De klager stelt dat dit ondertussen het geval is, waardoor dit
doel bereikt is. Desalniettemin was de situatie niet dezelfde op het moment van het neerleggen 
Beslissing ten gronde 82/2020- 14/48
van de klacht. Hiertoe verwijst de klager naar enkele elementen en bewijsstukken in het dossier
en meer bepaald ook naar de eigen klacht en de schermafbeeldingen die hij heeft toegevoegd.
39. Inhoudelijk berust de klacht op een inbreuk op de aanbeveling 01/2019 van de GBA, zo stelt de
klager.
40. De klager benadrukt dat de klacht niet steunt op enige kennis die de klager zou hebben, in hoofde
van zijn functie als gewezen voorzitter van de De CBPL is de rechtsvoorganger van de GBA.10 De
klager behoudt zich het recht voor om zich te verweren tegen deze beschuldiging van het
overtreden van vertrouwelijkheidsverplichting ex artikel 48 § 1 WOG.
41. De klager meent dat de verweerder daarenboven artikel 25, lid 2 AVG niet naleeft, door het niet
duidelijk aanbieden van het alternatieve mechanisme van het anonieme account.
De conclusie van de verweerder
42. Op 25 september 2020 volgt de conclusie van repliek van de verweerder. De verweerder vraagt
aan de Geschillenkamer om de klacht te seponeren, en minstens als ongegrond te verklaren. De
verweerder vraagt aan de Geschillenkamer om de bijkomende vaststellingen van de
Inspectiedienst (die buiten de omvang van de klacht vallen) – en ieder rechtsgevolg ervan – als
onontvankelijk, of minstens ongegrond, te verklaren.
43. De conclusie van de verweerder vangt aan met een voorstelling van de partijen. De verweerder
benadrukt hierbij dat de klager voorzitter was van de CBPL en directeur van het Kenniscentrum
van de Gegevensbeschermingsautoriteit, in de periode vóór het indienen van de klacht.
44. De verweerder licht ook de Fisconetplus-dienst toe. Dit is een portaal ondergebracht in de Federale
G-Cloud, ontwikkeld via SharePoint Online, een digitale tool in beheer van Microsoft. Die laatste
vereist voor de toegang tot haar platform het aanmaken van een gebruikersaccount. Anonieme
toegang werd door Microsoft verboden. In aanloop van het gebruik van dit platform werd de
verweerder gecontacteerd door de GBA, in navolging waarvan eerst een tussentijdse en later een
definitieve oplossing werd aangenomen.
45. De tussentijdse oplossing bestaat uit drie toegangsmogelijkheden:

10 Vergelijk artikel 3, lid 2 WOG. 
Beslissing ten gronde 82/2020- 15/48
A. Toegang via de basiszoekmotor van FisconetPlus via Myminfin.be, zonder enige authenticatie:
de gebruiker klikt op een link waardoor hij op een pagina terechtkomt waar hij eenvoudige
opzoekingen kan doen.
B. (Vanaf 31 januari 2019) toegang tot FisconetPlus via een anonieme account: de verweerder
stelt dat deze optie benadrukt werd op de website, zodanig dat de gebruiker geleid wordt naar de
meest privacy vriendelijke optie. De gebruiker klikt op “anonieme gebruiker maken” en ontvangt
vervolgens een gebruikersnaam en willekeuring paswoord dat hij zelf dient te bewaren. De
gebruiker dient hierbij zelf geen persoonsgegevens in te voeren.
C. Toegang via een Microsoft account.
De verweerder illustreert de toegangsopties middels de volgende schematische voorstelling11:
46. Daarnaast wijst de verweerder erop dat er in de voorgenomen definitieve oplossing in elk geval
geen probleem bestaat, daar die oplossing de volledige integratie van de informatie op een eigen
platform impliceert, zonder de tussenkomst van enige derde dienstenaanbieder. De verweerder
stelt in dit verband: “De voorzitter van de verweerder informeerde de Autoriteit ook duidelijk vanaf
de eerste contacten dat de bovenvermelde ontwikkelingen geleidelijk aan dienden te worden
uitgevoerd, afhankelijk van de beschikbare middelen en de verschillende betrokken directies.
Aangezien men op heden nog steeds geen volwaardige regering heeft, waardoor budgetten veel
moeilijker en trager kunnen worden bekomen, en men ook met de Covid-19 crisis is
geconfronteerd, nemen deze ontwikkelingen meer tijd in beslag dan oorspronkelijk voorzien. Ook
op technisch vlak is het niet zo eenvoudig om op zeer korte termijn de bovenvermelde definitieve
en meest wenselijke oplossing te implementeren. Zij rekenen hiervoor 9 à 12 maanden”.
47. Na een overzicht van de voorafgaande procedure komt de verweerder tot haar inhoudelijke
argumenten. Hieronder volgt een weergave van de 22 middelen die de verweerder aanhaalt:

11 Extract uit de conclusie van repliek van de verweerder
Beslissing ten gronde 82/2020- 16/48
48. “MIDDEL 1: “OBSUCRI LIBELLI” EN ONONTVANKELIJKHEID VAN DE RECHTSVORDERINGEN”
De verweerder stelt dat door de Geschillenkamer slechts voor het eerst meer dan zes maanden
na het instellen van de klacht aan de verweerder verzocht werd om haar verweermiddelen kenbaar
te maken, hoewel er intussen onder meer een voorlopige maatregel door de Inspectiedienst werd
genomen ten aanzien van de verweerder overeenkomstig artikel 70 WOG. De verweerder vindt
het “compleet onduidelijk welke handelingen [haar] precies ten laste worden gelegd”.
49. “MIDDEL 2: DE AUTORITEIT SCHOND ARTIKEL 54.2 AVG EN ARTIKEL 48, §1 GBA-WET DOORDAT
HAAR LEDEN NIET DE VERPLICHTING RESPECTEERDEN OM HET VERTROUWELIJKE KARAKTER
TE BEWAREN VAN DE FEITEN, HANDELINGEN OF INLICHTINGEN WAARVAN ZIJ UIT HOOFDE
VAN HUN FUNCTIE KENNIS NEMEN”
De verweerder stelt dat “uit het dossier klaar en duidelijk blijkt dat de Klager feiten en elementen
uit het dossier heeft gebruikt waarvan hij eerder kennis nam in zijn hoedanigheid van Voorzitter
van de Autoriteit en directeur van het Kenniscentrum.” De klager heeft volgens de verweerder
bijzondere voorkennis over elementen in het dossier en gebruikt die voorkennis om later als burger
klacht in te dienen. De verweerder verwijst te dezen onder meer naar artikel 48, §1 WOG en artikel
54, lid 2 AVG en meent dat er een schending van deze rechtsbepalingen in hoofde van de klager
kan worden vastgesteld.
50. “MIDDEL 3: EEN AANBEVELING HEEFT GEEN WETTELIJKE KRACHT - MISKENNING VAN
BEVOEGDHEDEN EN TAAKVERDELING BINNEN DE AUTORITEIT”
De verweerder verduidelijkt haar aangedragen middel als volgt: “door enerzijds een Aanbeveling
[1/2019] uit te schrijven in zijn hoedanigheid van directeur van het Kenniscentrum en, anderzijds
door een klacht in te dienen wegens niet naleving van diezelfde Aanbeveling, heeft de Klager
verschillende rechtsbeginselen en de taken die specifiek aan het Kenniscentrum zijn toevertrouwd,
geschonden.”
De verweerder meent daarnaast dat het niet de bedoeling is om een specifieke situatie te regelen
via een aanbeveling, niettegenstaande de advies- en aanbevelingsbevoegdheden van de GBA.
Bovendien heeft een aanbeveling geen bindende juridische kracht.
51. “MIDDEL 4: ONEERLIJKE PROCESVOERING, SCHENDING VAN DE RECHTEN VAN VERDEDIGING
EN ONPARTIJDIGHEID”
Beslissing ten gronde 82/2020- 17/48
De verweerder stelt dat haar rechten van verdediging systematisch miskend worden. De
verweerder wijst erop dat de klager de voormalige voorzitter van de GBA is, wat de rechtmatigheid
van de procedure en onpartijdigheid van de leden van de Geschillenkamer in het gedrang brengt.
De verweerder wijst ook op de nieuwe website van de Gegevensbeschermingsautoriteit, die werd
gelanceerd gedurende de procedure, en die een heel aantal publicaties die relevant zouden zijn
voor het verweer ontoegankelijk heeft gemaakt, wat ervoor zorgt dat de “gelijkheid van wapens
andermaal [werd] aangetast.”
52. “MIDDEL 5: DE AUTORITEIT SCHOND DE BEGINSELEN VAN BEHOORLIJK BESTUUR ALSMEDE
HET RECHTSZEKERHEIDSBEGINSEL”
Sinds maart 2018 was de GBA op de hoogte van het nieuwe FisconetPlus portaal, zo de
verweerder. Uiteindelijk vonden er in december 2018 ook vergaderingen plaats tussen de
verweerder en de GBA. Er werden op dat moment geen bezwaren gemaakt betreffende de
tussentijdse en definitieve oplossingen.
Desondanks legt de inspectiedienst plots op 20 mei 2020 een bevel tot voorlopige opschorting
betreffende de toegang tot Fisconetplus op aan de verweerder. De raadslieden van de verweerder
stellen dat er onvoldoende tijd werd gegeven om een nieuw systeem te ontwikkelen. Er vond geen
voorafgaand overleg plaats met de verweerder, er werden geen termijnen toegekend aan de
verweerder.
53. “MIDDEL 6: BEWIJSLAST”
Er werd geen proces-verbaal in de zin van artikel 67 WOG opgemaakt door de Inspectiedienst. De
verweerder stelt dat de vaststellingen van de Inspectiedienst geen bijzondere bewijskracht
(kunnen) genieten en wijst erop dat de verweerder het tegenbewijs van de betwiste vaststellingen
met ieder rechtsmiddel kunnen aanbrengen.
54. “MIDDEL 7: DE AUTORITEIT SCHOND ARTIKEL 63 WOG DOORDAT DE INSPECTIEDIENST EEN
ONDERZOEK UITVOERDE VOOR ASPECTEN DIE NIET BIJ HAAR AANHANGIG WAREN GEMAAKT”
De verweerder verwijst te dezen naar het verzoek van de Geschillenkamer ten aanzien van de
Inspectiedienst, overeenkomstig artikel 94, 1° WOG, dat veel beperkter was dan het uiteindelijke
onderzoek dat en de uiteindelijke vaststellingen die de Inspectiedienst deed, zoals weergegeven
in het voorgaand besproken verslag. 
Beslissing ten gronde 82/2020- 18/48
55. “MIDDEL 8: DE AUTORITEIT SCHOND ARTIKEL 96, §1 WOG DOORDAT HET VERZOEK VAN DE
GESCHILLENKAMER OM EEN ONDERZOEK DOOR DE INSPECTIEDIENST TE LATEN VERRICHTEN
NIET BINNEN DE DERTIG DAGEN NADAT DE KLACHT AANHANGIG WERD GEMAAKT BIJ DE
GESCHILLENKAMER DOOR DE EERSTELIJNSDIENST AAN DE INSPECTEUR-GENERAAL VAN DE
INSPECTIEDIENST WERD OVERGEMAAKT”
Dit verzoek werd overgemaakt na 31 dagen, wat later is dan de in de wet voorziene termijn, stelt
de verweerder. Bijgevolg dient het Inspectieverslag, alsmede de stukken in bijlage bij het
Inspectieverslag, uit de debatten te worden geweerd, aldus de verweerder.
56. “MIDDEL 9: DE KLACHT IS ONONTVANKELIJK EN MINSTENS ONGEGROND”
De klacht heeft betrekking op het feit dat de brochure slechts kan worden geraadpleegd via het
aanmaken van een Microsoft account. De verweerder werpt op dat de Inspectiedienst in haar
verslag gesteld heeft dat het bezwaar van de klager “niet bewezen” werd. Het feit dat
schermafbeeldingen aangeleverd door de klager wijzen op de mogelijkheid om een Microsoftaccount aan te maken, impliceert immers niet dat er een verplichting bestaat om een Microsoftaccount aan te maken.
Daarnaast stelt de verweerder dat het principe dat de toegang tot overheidsinformatie zou moeten
gevrijwaard worden van de tussenkomst van derde dienstenaanbieders, niet kan gelezen worden
in de AVG.
57. “MIDDEL 10: DE TOEGANG TOT DE FISCONETPLUS-DIENST VOLGT GEEN COMPLEX
TOEGANGSSCHEMA”
Het Inspectieverslag concludeert dat als men de toegang tot alle keuzes op FisconetPlus en
MyMinfin schematisch voorstelt, men een complex toegangsschema krijgt.12 Bijgevolg zou de
toegang tot de Fisconetplus-dienst een complex toegangsschema volgen dat niet transparant is
voor de gebruiker. De verweerder betwist dit en stelt dat zij de transparantieplicht correct heeft
nageleefd.
58. “MIDDEL 11: DE VERWEERDER IS VERWERKINGSVERANTWOORDELIJKE, HETZIJ ALLEEN,
HETZIJ GEZAMENLIJK VOOR BEPAALDE VERWERKINGEN VAN PERSOONSGEGEVENS –

12 De verweerder verwijst te dezen naar het Technisch Onderzoeksverslag van de Inspectiedienst, blz.5.
Beslissing ten gronde 82/2020- 19/48
MICROSOFT IS VERWERKINGSVERANTWOORDELIJKE VOOR BEPAALDE VERWERKINGEN VAN
PERSOONSGEGEVENS”
De contractuele afspraken tussen de verweerder en Microsoft, voor wat betreft de Sharepoint
Online Cloud toepassing van Microsoft, kwalificeren de verweerder als
verwerkingsverantwoordelijke en Microsoft als verwerker, zo stelt de verweerder.
Desalniettemin meent de verweerder dat enkele preciseringen dienen te worden aangebracht,
specifiek wat betreft de authenticatie via de Microsoft account. Ten eerste wijst de verweerder op
het feit dat ten tijde van de keuze om FisconetPlus onder te brengen op de Sharepoint Online
Cloud van Microsoft het niet vereist was om met een Microsoft account in te loggen om toegang
te krijgen tot de Sharepoint Online Cloud toepassing. Die keuze is nadien wereldwijd, omwille van
veiligheidsredenen, door Microsoft gemaakt en structureel geïmplementeerd. Dit is niet de keuze
van verweerder. Ten tweede bevestigde Microsoft aan de verweerder dat voor iedere authenticatie
die via het Microsoft account verloopt, Microsoft handelt als een verwerkingsverantwoordelijke.
De verweerder stelt zich op het standpunt dat dit een separate verwerkingsverantwoordelijkheid
betreft, waarbij Microsoft voor een aantal aspecten verantwoordelijk is en de verweerder voor een
aantal aspecten. Zo zou verweerder niet verantwoordelijk zijn voor de authenticatiemethode die
Microsoft voorschrijft.
59. “MIDDEL 12: DE INFORMATIE IN DE COOKIE POLICY IS VOLLEDIG, TRANSPARANT EN CORRECT”
De Inspectiedienst stelt dat het cookiebeleid niet volledig en niet (volledig) correct is. Er zouden
in realiteit cookies worden geplaatst die niet in het cookiebeleid staan. De verweerder benadrukt
dat het slechts om één onvermelde cookie gaat; het gaat om een veiligheidscookie (session
cookie).
60. “MIDDEL 13: VOOR DE COOKIES DIE WORDEN GEPLAATST DOOR DE VERWEERDER IS GEEN
TOESTEMMING NODIG – VOOR ZOVER NODIG WERD TOESTEMMING RECHTSGELDIG BEKOMEN”
De verweerder stelt dat alle cookies die de verweerder via haar website plaatst - ook de cookies
die door de Inspectiedienst werden vastgesteld - essentiële of functionele cookies zijn.
Bijgevolg is er geen vereiste om toestemming te vragen van betrokkenen op grond van art. 129 
Beslissing ten gronde 82/2020- 20/48
Wet betreffende de Elektronische Communicatie (als uitvoering van art. 5.3 e-privacyrichtlijn).13
Voor zover er toch een toestemming vereist zou zijn, wordt deze rechtsgeldig verkregen door de
verweerder. De cookie-banner vraagt immers de toestemming van de betrokkene door het klikken
op “Ja, ik ben akkoord” en verduidelijkt dat de betrokkene zijn/haar toestemming geeft door actief
verder te surfen op de website. Dit betreft aldus wel degelijk een uitdrukkelijke en actieve
toestemming. De raadslieden van de verweerder stellen dan ook dat de vaststellingen 5 en 6 van
het inspectieverslag niet correct zijn.
61. “MIDDEL 14: DE INSPECTIEDIENST LEVERT GEEN BEWIJS DAT DE ANONIEME ACCOUNT VIA
FISCONETPLUS NIET ANONIEM WAS”
De verweerder werpt op dat de Inspectiedienst op verschillende plaatsen in haar verslag aanhaalt
“dat de ‘anonieme’ account niet werkelijk anoniem was, zonder deze bewering werkelijk aan te
tonen.” De verweerder verwijst hierbij naar de analyse van de Inspectiedienst, waarbij die laatste
vaststelt dat het plaatsen van cookies door Microsoft na het inloggen via een gebruikersaccount,
impliceert dat het gebruik van het account niet werkelijk anoniem is. Een analyse door de
Inspectiedienst van het “anonieme” account heeft echter niet plaatsgevonden, stelt de
verweerder.
De verweerder stelt bovendien in dit kader dat enkele vaststellingen van de Inspectiedienst niet
correct zijn. Het verslag van de Inspectiedienst bevat geen technische analyse van het anonieme
account en daarenboven is niet aangeduid door de Inspectiedienst welke cookies
persoonsgegevens bevatten, of geassocieerd worden met een identificator, zoals een IP-adres.
62. “MIDDEL 15: DE COOKIE POLICY VOORZIET WEL DEGELIJK IN UITLEG OVER HOE EEN GEGEVEN
TOESTEMMING KAN WORDEN INGETROKKEN EN IN EEN MECHANISME OM TOESTEMMING IN
TE TREKKEN”
Volgens de Inspectiedienst zouden beide websites geen uitleg bevatten aangaande de (intrekking
van de) toestemming voor het gebruik van cookies. De verweerder stelt dat geen toestemming
dient te worden bekomen van de betrokkene voor het plaatsen van essentiële en functionele
cookies. De verweerder voorziet wel uitleg omtrent hoe cookies verwijderd kunnen worden.
63. “MIDDEL 16: GEEN SCHENDING VAN DE BEGINSELEN VAN DE AVG”

13 Wet betreffende de Elektronische Communicatie van 13 juni 2005, B.S. 20 juni 2005 (WEC); Richtlijn (EU) 2002/58/EG van
12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector
elektronische communicatie, P.B. EU L/37 (e-privacyrichtlijn).
Beslissing ten gronde 82/2020- 21/48
De raadslieden van de verweerder stellen dat de verklaringen van de verweerder verkeerd worden
voorgesteld in het verslag . Bijgevolg is volgens de verweerder het eerlijkheidsbeginsel vervat in
artikel 5, lid 1, punt a) AVG niet geschonden en zijn verschillende vaststellingen van de
Inspectiedienst niet correct.
De vaststellingen van de Inspectiedienst over de naleving van het finaliteitsbeginsel (artikel 5, lid
1, punt b) AVG) en de afdoende beveiliging van persoonsgegevens (artikel 32 AVG) zijn niet
correct en gaan uit van verkeerde veronderstellingen.
Ook verwijst de verweerder naar de Gebruikershandleiding voor haar website om te argumenteren
dat – in tegenstelling tot wat de Inspectiedienst vaststelde – de informatieplicht overeenkomstig
artikel 13, lid 1 AVG wel degelijk werd nageleefd. Te dezen wordt gesteld door de verweerder dat
de ontvangers van persoonsgegevens duidelijk werden aangegeven, en dat er geen
persoonsgegevens werden doorgegeven buiten de Unie.
64. “MIDDEL 17: GEEN SCHENDING VAN DE MEDEWERKINGSPLICHT”
De verweerder stelt dat zij haar plichten in de zin van artikel 31 AVG en artikel 66 WOG terdege
heeft nageleefd.
65. “MIDDEL 18: GEEN SCHENDING VAN MINIMALE GEGEVENSVERWERKINGSPLICHT”
De verweerder wijst erop dat het inloggen tot het Fisconetplus portaal voor gebruikers als voordeel
gepersonaliseerde diensten (zoals het bewaren en categoriseren van documenten) had.
66. “MIDDEL 19: GEEN SCHENDING VAN DE BEGINSELEN VAN GEGEVENSBESCHERMING DOOR
ONTWERP EN GEGEVENSBESCHERMING DOOR STANDAARD INSTELLINGEN”
De verweerder herhaalt dat ten tijde van haar keuze voor het Sharepoint Platform van Microsoft
voor de ontwikkeling, het inloggen middels een gebruikersaccount niet vereist was, en dat dit een
keuze was van Microsoft, en dat een inbreuk op artikel 25 AVG haar dan ook niet kan verweten
worden.
67. “MIDDEL 20: ER WAS GEEN NOODZAAK TOT HET UITVOEREN VAN EEN
GEGEVENSBESCHERMINGSEFFECTENBEOORDELING”
Beslissing ten gronde 82/2020- 22/48
Volgens de verweerder is er “geen sprake van een ‘waarschijnlijk hoog risico’ ” in de zin van artikel
35 AVG en evenmin valt de verwerking onder één van de situaties van artikel 35 AVG. Daarnaast
wijst de verweerder erop dat de verwerking eveneens niet voorkomt op de lijst van verwerkingen
die een DPIA behoeven, opgesteld door de Gegevensbeschermingsautoriteit.
68. “MIDDEL 21: FUNCTIONARIS”
De verweerder stelt dat de positie van de FG voldoende onafhankelijk is binnen het
organisatiemodel van de verweerder, overeenkomstig artikel 37 en 38 AVG, en dat zij haar taken
in de zin van artikel 39 AVG steeds terdege heeft uitgevoerd.
De verweerder wijst er ook op dat de Inspectiedienst zelf verwarring zou gecreëerd hebben door
eerst de Voorzitter van het Directiecomité aan te schrijven. De FG werd in eerste instantie niet
rechtstreeks aangeschreven en antwoordde dus ook niet rechtstreeks op de vragen van de
Inspectiedienst.
69. “MIDDEL 22: ONDERSCHIKTE ORDE: MILDE TOEPASSING”
In ondergeschikte orde verzoekt de verweerder aan de Geschillenkamer om een milde toepassing
te maken van haar bevoegdheden.
De verweerder vraagt in hoofdorde:
1. De Klacht te seponeren in toepassing van artikel 100, §1, 1° WOG, of minstens de klacht
ongegrond te verklaren;
2. De Bijkomende Vaststellingen – en ieder rechtsgevolg ervan – als onontvankelijk, minstens
ongegrond, te verklaren, en bijgevolg in toepassing van artikel 100, §1, 2° WOG, de
buitenvervolginstelling te bevelen
In ondergeschikte orde vraagt de verweerder:
1. In toepassing van artikel 100, §1, 3° WOG, de opschorting van de uitspraak te bevelen.
In meer ondergeschikte orde vraagt de verweerder:
1. In toepassing van artikel 100, §1, 5° WOG, waarschuwingen en berispingen te formuleren.
De hoorzitting
Beslissing ten gronde 82/2020- 23/48
70. Bij Ministerieel Besluit van 28 oktober 2020 houdende dringende maatregelen om de verspreiding
van het coronavirus COVID - 19 te beperken (B.S. 28/10/2020) werd door de federale overheid
besloten tot een aantal dwingende maatregelen die het onmogelijk maakten om een hoorzitting
met alle partijen in de gebruikelijke opstelling te laten plaatsvinden. De Geschillenkamer bood de
partijen daarom de mogelijkheid om de hoorzitting te laten plaatsvinden via elektronische weg.
Beide partijen bevestigden hun aanwezigheid ter hoorzitting vooraf overeenkomstig artikel 51
Reglement van Interne Orde van de Gegevensbeschermingsautoriteit.
71. De hoorzitting vond plaats op 16 november 2020. Beide partijen waren aanwezig.
72. Er werd een proces-verbaal van de hoorzitting opgemaakt, dat als enige doel heeft aanvullingen
en preciseringen met betrekking tot de eerder neergelegde conclusies weer te geven. Zoals steeds
kregen de partijen ook de mogelijkheid feitelijke opmerkingen te formuleren bij het procesverbaal, zonder dat dit een heropening van de debatten inhoudt. De verweerder maakte zulke
opmerkingen over, die als bijlage bij het proces-verbaal aan het dossier werden toegevoegd.
2. Motivering
2.1. De bevoegdheid van de Inspectiedienst en de Geschillenkamer en de
omvang van het dossier
2.1.1. Het verzoek van de verweerder om stukken uit de debatten te weren
73. Op 29 oktober 2019 heeft de Eerstelijnsdienst de klacht ontvankelijk verklaard en overgemaakt
aan de Geschillenkamer, ingevolge artikel 62, § 1 WOG. Op 24 november 2019 heeft de
Geschillenkamer besloten dat een onderzoek van de Inspectiedienst noodzakelijk was, in
toepassing van artikel 94, 1° en artikel 63, 2° WOG. Op 29 november 2019 werd het verzoek tot
het verrichten van een onderzoek overeenkomstig artikel 96, §1 WOG overgemaakt aan de
Inspectiedienst.
74. In middel 8 van haar repliekconclusie stelt de verweerder dat het verslag van de Inspectiedienst,
alsmede de stukken in bijlage bij het verslag, uit de debatten dienen te worden geweerd, ingevolge
het laattijdig overmaken door de Geschillenkamer van het verzoek ten aanzien van de
Inspectiedienst om een onderzoek te voeren. De klacht werd immers aanhangig gemaakt door de
Eerstelijnsdienst op 29 oktober 2019, 31 dagen vóór het verzoek in de zin van artikel 96, §1 WOG.
Beslissing ten gronde 82/2020- 24/48
De Geschillenkamer beschouwt de termijn bedoeld in artikel 96, §1 WOG, waarvan de overschrijding niet
bestraft wordt met enige sanctie in de rechtsnorm zelf, als een termijn van orde. De overschrijding van
de termijn maakt op zichzelf niet de nietigheid van de navolgende acties van een bestuurlijke overheid
uit.14 De Geschillenkamer ziet dan ook geen noodzaak om het verslag van de Inspectiedienst, alsook de
stukken aangedragen door de Inspectiedienst, te weren uit de debatten en bijgevolg niet te overwegen
in de beraadslaging voor het nemen van voorliggende beslissing temeer omdat de overschrijding van de
termijn (in casu net 1 dag) geen door het recht beschermd belang van de verweerder schaadt.
75. Louter voor de rechtsbescherming van betrokkenen (burgers), en meer bepaald rekening
houdende met het recht van betrokkenen om klacht in te dienen overeenkomstig artikel 77, lid 1
AVG en de aan de toezichthoudende autoriteit toegewezen taken en bevoegdheden
overeenkomstig artikel 57 en 58 AVG om die klacht te behandelen, kan daarenboven niet worden
aanvaard dat een nationale procedurele bepaling die een termijn van orde vooropstelt, die taken
en bevoegdheden van de toezichthoudende autoriteit ter zake ontneemt.15
2.1.2. De middelen van de verweerder inzake “obscuri libelli”, de “onontvankelijkheid van
rechtsvorderingen” en de onderzoeksbevoegdheden van de Inspectiedienst in een
dossier met een klacht
76. De Inspectiedienst doet in navolging van haar onderzoek en in haar verslag inderdaad een aantal
vaststellingen die betrekking hebben op dezelfde verweerder (als verwerkingsverantwoordelijke)
als die vermeld in de klacht, waar die vaststellingen geen – of op zijn minst niet altijd –
rechtstreekse betrekking hebben op het voorwerp van de klacht.
77. In het eerste middel van haar repliekconclusie, argumenteert de verweerder dat de klacht
betrekking heeft op één aspect, maar de Inspectiedienst tal van aspecten onderzoekt, waardoor
het voor de verweerder “bijgevolg compleet onduidelijk [is] welke handelingen aan [de
verweerder] precies ten laste worden gelegd”.
In het zevende middel van haar repliekconclusie, stelt de verweerder dat “de autoriteit artikel 63
WOG [schond] doordat de Inspectiedienst een onderzoek uitvoerde voor aspecten die niet bij haar
aanhangig werden gemaakt”.

14 Vergelijk Cass. Arrest van 27 juni 2019 (beschikbaar via juportal.be): “Ce délai, qui n’est assorti d’aucune sanction, est un
délai d’orde dont le dépassement n’a pas pour conséquence de rendre l’amende administrative illégale.”
15 Omtrent de rechtsbescherming van burgers op basis van het Unierecht en de principes van ‘directe werking’ en ‘primauteit’,
zie o.m. Arrest HvJEU van 5 februari 1963, NV Algemene Transport- en Expeditie Onderneming van Gend & Loos t. Nederlandse
Administratie der Belastingen, C-26-62, ECLI:EU:C:1963:1; Arrest HvJEU van 15 juli 1964, Flaminio Costa t. E.N.E.L., C-6-64,
ECLI:EU:C:1964:66; zie ook de rechtsleer dienaangaande: C. BARNARD, The Substantive Law of the EU: The Four Freedoms,
Oxford (5de ed.), 2016, 17.
Beslissing ten gronde 82/2020- 25/48
78. Nu het dossier overeenkomstig artikel 63, 2° WOG aanhangig werd gemaakt door de
Geschillenkamer bij de Inspectiedienst, heeft die laatste uiteraard de bevoegdheid om de
verwerkingen die verband houden met het voorwerp van de klacht verder te onderzoeken. Het
kan daarbij worden onderstreept dat het loutere feit dat de klacht betrekking heeft op de toegang
tot een specifieke brochure, dit de onderzoeksbevoegdheden van de Inspectiedienst (artikelen 64
tot en met 90 WOG) niet kan beperken tot een loutere vaststelling van de accuraatheid van de
klacht. De onderzoeksbevoegdheden moeten immers dienend zijn om de naleving van de
bepalingen inzake persoonsgegevensbescherming te onderzoeken. Het onderzoek moet om die
reden op zijn minst ook kunnen ingaan op elementen die accessoir zijn aan het voorwerp van de
klacht.
79. De Geschillenkamer wijst er daarnaast op dat wanneer de Inspectiedienst in de loop van een
onderzoek naar een klacht vaststelt dat er ernstige aanwijzingen zijn van het bestaan van een
praktijk die aanleiding kan geven tot een inbreuk op de grondbeginselen van de bescherming van
persoonsgegevens, de Inspectiedienst overeenkomstig artikel 63, 6° WOG uit eigen beweging
nieuwe elementen kan onderzoeken. De Geschillenkamer wijst er echter op dat in de onderhavige
zaak alle vaststellingen van de Inspectiedienst rechtstreeks of onrechtstreeks verband houden met
het voorwerp van de klacht, en alle vaststellingen deel uitmaken van één dossier, dat bij de
Inspectiedienst aanhangig werd gemaakt op basis van artikel 63, 2° WOG.
80. Er kan te dezen ook niet worden aangedragen dat de omvang van het dossier voor de verweerder
onduidelijk was, nu de beslissing van de Geschillenkamer d.d. 4 juni 2020 met de uitnodiging aan
beide partijen om verweermiddelen in te dienen overeenkomstig artikel 98 en 99 WOG, duidelijk
verwijst naar de klacht én de vaststellingen van de Inspectiedienst.16
81. Het verzoek van de Geschillenkamer ten aanzien van de Inspectiedienst, beperkt dus geenszins
de omvang van het onderzoek en onderzoeksmogelijkheden van die laatste. Dit blijkt duidelijk uit
de wettekst. Om die reden kan het argument dat wordt gepuurd uit middel 1 van de
repliekconclusie van de verweerder niet worden aanvaard. Daarnevens wijst de Geschillenkamer
er voor de volledigheid op dat de WOG nergens in de mogelijkheid voorziet om een klacht – na
het ontvankelijk verklaren ervan door de Eerstelijnsdienst – als het ware a posteriori
“onontvankelijk” te verklaren.17

16 In de brief aan de verweerder wordt onder meer letterlijk vermeld: “Op basis van de klacht en de vaststellingen gedaan door
de Inspectiedienst beslist de Geschillenkamer over te gaan tot een behandeling ten gronde.”
17 De Geschillenkamer heeft anderzijds wel de bevoegdheid om te beslissen dat er geen inbreuk kan worden vastgesteld, en op
grond van artikel 100, §1, 2° WOG de buitenvervolgingstelling bevelen, of de klacht seponeren overeenkomstig artikel 95, §1,
1° of artikel 100, §1, 1° WOG (naargelang het stadium van de procedure waarin het dossier zich bevindt). 
Beslissing ten gronde 82/2020- 26/48
2.2. De onafhankelijkheid en integriteit van de medewerkers en leden van
de Gegevensbeschermingsautoriteit in het geheel, en de
Geschillenkamer in het bijzonder (artikel 54, lid 2 AVG en artikel 48,
§1 WOG)
82. In het tweede middel van haar repliekconclusie stelt de verweerder dat de GBA zelf artikel 54, lid
2 AVG en artikel 48, §1 WOG schond “doordat haar leden niet de verplichting respecteerden om
het vertrouwelijke karakter te bewaren van de feiten, handelingen of inlichtingen waarvan zij uit
hoofde van hun functie kennis nemen”.
83. Ter staving van dit argument verwijst de verweerder naar communicatie – die de verweerder zelf
bijvoegt – tussen de verweerder en de klager in zijn hoedanigheid van voorzitter en directeur van
de GBA (en voordien als voorzitter van de CBPL), en in het bijzonder naar een brief die dateert
van 15 juni 2018. Daarenboven wordt er op gewezen dat de Aanbeveling 1/2019 waarop de klager
diens klacht stoelt, door de klager in zijn hoedanigheid van directeur bij het Kenniscentrum werd
ondertekend.
84. De Geschillenkamer wenst er vooreerst op te wijzen dat de GBA, de Geschillenkamer incluis, op
transparante en integere manier haar taken uitvoert, met als minimumdrempel de wettelijke
integriteitsplicht, vervat in artikel 54, lid 2 AVG en artikel 48, §1 WOG, de rechtsbepalingen waar
de verweerder naar verwijst. De verweerder haalt onterecht aan dat er sprake is van oneerlijke
procesvoering, schending van de rechten van verdediging en onpartijdigheid.18
85. De Geschillenkamer onderstreept onder meer het vast beleid dat zij hanteert inzake de publicatie
van haar beslissingen – al dan niet met weglating van de identificatiegegevens en met voorbehoud
van de beslissingsbevoegdheid van de zetelende leden om de beslissing in een individueel dossier
al dan niet te publiceren – waarbij de Geschillenkamer waar mogelijk haar werkzaamheden en
beslissingen na het afsluiten van dossiers op transparante wijze publiek maakt voor burgers.19 Ook
de voorliggende beslissing zal om die reden worden gepubliceerd (infra).
86. Bij het nemen van de beslissing wordt met alle stukken in het dossier rekening gehouden, en de
Geschillenkamer beperkt zich bij de beoordeling van het dossier dus geenszins tot de belastende

18 Meer bepaald in middel 4 van de repliekconclusie van de verweerder.
19 De Geschillenkamer beslist geval per geval om beslissingen bekend te maken overeenkomstig artikel 95, §1, 8° en artikel
100, §1, 16° WOG; afhankelijk van het stadium van de procedure waar het dossier zich in bevindt. 
Beslissing ten gronde 82/2020- 27/48
elementen.20 Bij de inhoudelijke beoordeling van het dossier en de beraadslagingen die de
voorliggende beslissing voorafgingen werd steeds rekening gehouden met de argumenten en
verweermiddelen van de verweerder, alsook met de antwoorden en stukken die door de
verweerder aan de Inspectiedienst werden verschaft en die integraal tot het dossier behoren.
87. De klager is op dit moment geen lid of personeelslid van de GBA en is niet betrokken bij de
inhoudelijke activiteiten van de autoriteit, en was dit ook niet op het moment van de klacht. Hij
diende een klacht in via zijn privé e-mailadres. Er moet abstractie worden gemaakt tussen de (al
dan niet voormalige) professionele hoedanigheid van de klager, naast diens hoedanigheid van
burger van de Europese Unie en van het Koninkrijk België. Nergens in de Europese of nationale
wetgeving wordt de klager het recht ontnomen om overeenkomstig artikel 77 AVG klacht in te
dienen bij een toezichthoudende autoriteit, in casu de GBA, omdat hij zelf betrokken is of was bij
de werking van die autoriteit. Dit geldt a fortiori voor personen die in een (recent) verleden
werkzaam waren bij de GBA, maar dit niet langer zijn.
88. Daarnaast is het geenszins zo dat de klager “dus ‘rechter en partij’ bij eenzelfde geschil” uitmaakt,
zoals de verweerder in haar repliekconclusie argumenteert.21 De door de Kamer van
Volksvertegenwoordigers benoemde leden van de Geschillenkamer beslissen in elk dossier waar
zij zetelen onafhankelijk en autonoom, in overeenstemming met artikel 52 AVG en artikel 43 e.v.
WOG.
89. De leden benadrukken dat er geen enkele externe invloed op hen werd uitgeoefend bij de
behandeling van dit dossier, noch aanvaardden de leden bij de behandeling van dit dossier enige
instructie van wie dan ook.22 Er kan ook worden onderstreept dat de zetelende leden in dit dossier
niet op hetzelfde moment werknemer of benoemd lid waren in de periode waarin de klager (als
leidinggevende) activiteiten voor de CBPL of de GBA uitoefende.
90. De verweerder stelt in diens repliekconclusie: “De Klager maakt duidelijk gebruik van zijn
bijzondere voorkennis van het dossier (…). In de Klacht wordt inderdaad nergens expliciet
verwezen naar vertrouwelijke elementen van het dossier, maar het is echter wel duidelijk dat de
voorkennis van het dossier van de Klager een doorslaggevende rol heeft gespeeld voor de Klager
om een klacht neer te leggen.”.

20 Middel 4 repliekconclusie verweerder: “het dossier werd uitsluitend ten laste van [de verweerder] gevoerd, zonder dat de
verschillende verslagen aantonen dat [de verweerder] steevast heeft meegewerkt met de Autoriteit in dit dossier.”
21 Middel 2 repliekconclusie verweerder.
22 Vergelijk artikel 52, lid 2 AVG en artikel 43, lid 1 WOG. 
Beslissing ten gronde 82/2020- 28/48
91. Er kan worden benadrukt dat de klager in zijn klacht of in andere stadia van de behandeling van
het dossier bij de GBA, geen onrechtmatig bewijs heeft voorgelegd, en meer nog, zich uitsluitend
heeft gestoeld op publiek beschikbare documenten. De brief van 15 juni 2018 waar de verweerder
naar verwijst, wordt door die verweerder zelf aangedragen en is niet voorgelegd door de klager
om zijn rechten als burger uit te oefenen.
92. Uiteraard is het zo dat de klager als voormalig voorzitter en directeur van de CBPL, resp. GBA, een
zekere expertise heeft op het vlak van de bescherming van de persoonsgegevens en in die zin
potentieel relevante publieke documenten heeft kunnen identificeren en aandragen. Het loutere
feit dat een burger de wet- en regelgeving ter zake goed beheerst omwille van zijn professionele
activiteiten, en aanwendt om diens rechten als burger uit te oefenen, betekent echter niet ipso
facto dat die persoon zijn rechten misbruikt of integriteitsplichten (die voortvloeien uit zijn
professionele activiteiten) schendt.
93. De Geschillenkamer ziet dientengevolge geen enkele reden waarom een inbreuk op artikel 54, lid
2 of artikel 48, §1 WOG zou zijn begaan door de klager of de GBA zelf; het argument in het tweede
middel van de repliekconclusie van de verweerder kan dus niet worden weerhouden.
2.3. De verwerkingsverantwoordelijke(n) in de zin van artikel 4, punt 7) AVG
94. De Geschillenkamer gaat over tot het aanduiden van de verwerkingsverantwoordelijke voor de
verwerkingen die betrekking hebben op het voorwerp van de klacht en de vaststellingen van de
Inspectiedienst in haar verslag. Overeenkomstig artikel 4, punt 7 AVG is de
verwerkingsverantwoordelijke:
“een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander
orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking
van persoonsgegevens vaststelt; wanneer de doelstelling van en de middelen voor deze
verwerking in het Unierecht of het lidstatelijk recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt
aangewezen”
95. In haar verslag stelt de Inspectiedienst dat de verweerder de verwerkingsverantwoordelijke is voor
het volledige beheer van de ‘Fisconetplus-dienst’, met inbegrip van de login middels een Microsoft
gebruikersaccount (zowel via een anoniem, als via een ‘normaal’ gebruikersaccount). De
Inspectiedienst stelt dat de verantwoordelijkheid van de verweerder “een combinatie van diverse 
Beslissing ten gronde 82/2020- 29/48
keuzes [omvat] aangaande het aanbieden van diverse toegangsmogelijkheden die al dan niet een
verwerking van persoonsgegevens inhouden, met name” (schermafbeelding zonder overname
van vermelde voetnoten):
96. De verweerder stelt in haar elfde middel echter dat zij voor een aantal verwerkingen van
persoonsgegevens, genoemd in het dossier, niet als verwerkingsverantwoordelijke in de zin van
artikel 4, punt 7 AVG kan gezien worden: “De [verweerder] betwist niet dat zij verantwoordelijk
is voor de keuze om Fisconetplus onder te brengen in de Sharepoint Online cloud toepassing van
Microsoft […] De [verweerder] heeft geenszins enige keuze gemaakt om:
 voor de authenticatiedienst (onder meer) beroep te blijven doen op Microsoft;
 de authenticatiedienst al dan niet op de infrastructuur van Microsoft te herbergen.
Deze keuzes zijn enkel en alleen door Microsoft gemaakt en de [verweerder] had geen andere
keuze dan op dat moment (voorlopig) verder te gaan met Microsoft.”.
97. De verweerder is van mening dat “Microsoft verwerkingsverantwoordelijke is voor wat betreft
iedere authenticatie die via de Microsoft account verloopt en dus ook voor iedere authenticatie via
de Microsoft account in het kader van Fisconetplus.” De verweerder verwijst hierbij naar de positie
van Microsoft als “verwerker” in de zin van artikel 28 AVG, waarbij Microsoft
verwerkingsverantwoordelijke wordt overeenkomstig artikel 28, lid 10 AVG voor de verwerking die
de authenticatie via een Microsoft account noodzaakt.
98. Het Hof van Justitie heeft bevestigd dat voor de identificatie van de
verwerkingsverantwoordelijke(n) er een feitelijke beoordeling moet zijn welke natuurlijke persoon
of rechtspersoon, resp. natuurlijke personen of rechtspersonen, “het doel” en “de middelen” van
de verwerking vaststellen, waarbij ter bescherming van betrokkenen een ruime definitie aan het
begrip wordt gegeven.23 Het Hof heeft eveneens geoordeeld dat een natuurlijke persoon die om

23 Arrest HvJEU van 13 mei 2014, Google Spain en Google, C-131/12, ECLI:EU:C:2014:317, par. 34; Arrest HvJEU van 5 juni
2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, ECLI:EU:C:2018:388, par. 28.
Beslissing ten gronde 82/2020- 30/48
hem moverende redenen invloed uitoefent op de verwerking van persoonsgegevens en daardoor
deelneemt aan de vaststelling van het doel van en de middelen voor deze verwerking, kan geacht
worden een verwerkingsverantwoordelijke te zijn.24
99. Ook werd bevestigd door het Hof van Justitie dat het mogelijk is dat, in het kader van een
verwerking met gezamenlijke verwerkingsverantwoordelijken, niet alle bewerkingen die door de
respectievelijke verwerkingsverantwoordelijken met de persoonsgegevens worden uitgevoerd, de
verantwoordelijkheid van elke verwerkingsverantwoordelijke betreffen.25 Dit is met name het
geval wanneer het een specifieke verwerkingsverantwoordelijke is die het doel en de middelen
vaststelt voor een specifieke bewerking. Dit wil zeggen dat die bewerking voldoende
onderscheiden is van de verwerking waarvoor een andere verwerkingsverantwoordelijke (mede)
het doel en de middelen voor de persoonsgegevensverwerkingen vaststelt.
100. In het voorliggende geval is de inlogprocedure via Microsoft (zowel via een ‘anoniem’ als een
‘gewoon’ gebruikersaccount) noodzakelijk voor het gebruik van Fisconetplus en haar
mogelijkheden tot personalisatie (zoals het bewaren van documenten door gebruikers). Wanneer
in de opeenvolgende stappen – gefaciliteerd via een website van de verweerder –
persoonsgegevens verwerkt worden, hangen deze verwerkingen sterk samen met het door de
verweerder bepaalde doel van de website in het geheel en de daar aangeboden Fisconetplusdienst in het bijzonder.
101. Daarnaast is het de verweerder zelf die contractuele afspraken heeft gemaakt voor de huisvesting
van de Fisconetplus-dienst middels de Sharepoint Online dienst van Microsoft, waarbij die laatste
het gebruik van een (al dan niet ‘anoniem’) gebruikersaccount vereist voor het gebruik van haar
diensten. Het is dus de verweerder die voor de diensten en (digitale) producten van Microsoft
kiest en op die manier de middelen voor de verwerking vaststelt.
102. Het doet daarbij niet ter zake dat het bij het aangaan van de verbintenissen tussen de verweerder
en Microsoft niet noodzakelijk was om een (al dan niet ‘anoniem’) gebruikersaccount te gebruiken
om het Sharepoint Online platform te kunnen gebruiken. Dit is een contractuele aangelegenheid
tussen de verweerder en Microsoft, die geen afbreuk doet aan de wettelijke verplichtingen van
verwerkingsverantwoordelijken bij de verwerking van persoonsgegevens. De authenticatie via het
(al dan niet ‘anonieme’) gebruikersaccount is immers noodzakelijk voor het gebruik van de website
van de verweerder, waardoor de verwerking onlosmakelijk met de website en diens eigenaar is
verbonden.

24 Arrest HvJEU van 10 juli 2018, Jehovan todistajat, C-25/17, ECLI:EU:C:2018:551, par. 65.
25 Cfr. HvJEU Arrest van 29 juli 2019, Fashion ID GmbH & Co KG t. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629,
par. 76.
Beslissing ten gronde 82/2020- 31/48
103. Voor de verwerking van persoonsgegevens bij het gebruik van de Fisconetplus-dienst op het
Sharepoint Online, met de authenticatie via een gebruikersaccount van Microsoft incluis, is de
verweerder dus wel degelijk onverkort verwerkingsverantwoordelijke in de zin van artikel 4, punt
7 AVG.
104. Dit houdt ook in dat de verweerder haar verantwoordelijkheden in de zin van artikel 5, lid 2 en
artikel 24 AVG met betrekking tot de naleving van de bepalingen in de AVG dient na te komen.
Dit geldt ook in het geval Microsoft voor de authenticatie eveneens verwerkingsverantwoordelijke
is en waarbij Microsoft en de verweerder gezamenlijke verwerkingsverantwoordelijken uitmaken,
overeenkomstig artikel 26 AVG.
26
2.4. De naleving van de beginselen inzake de verwerking van persoonsgegevens
(artikel 5 AVG) en gegevensbescherming door ontwerp en standaardinstellingen
(artikel 25 AVG)
2.4.1. De vereiste van het naleven van de beginselen inzake de verwerking van
persoonsgegevens in het licht van artikel 25 AVG
105. De Geschillenkamer heeft alle elementen van het dossier in haar beraadslaging meegenomen, en
besluit dat de kern van de problematiek die aanleiding gaf tot de klacht, terug te leiden valt tot
de naleving van het beginsel inzake de behoorlijkheid en transparantie van de verwerking in de
zin van artikel 5, lid 1, punt a) AVG enerzijds, en de naleving van het beginsel inzake minimale
gegevensverwerking – vervat in artikel 5, lid 1, punt c) AVG – anderzijds.
106. De Inspectiedienst stelt terecht een aantal andere problemen vast, die bijvoorbeeld leiden tot de
vaststelling “dat de [verweerder] bij de transfer van persoonsgegevens aan Microsoft toelaat om
meer mee te delen dan noodzakelijk en hierbij het finaliteitsbeginsel niet respecteert”, alsook de
vaststelling met betrekking tot de beveiliging van persoonsgegevens wanneer deze door Microsoft
worden verwerkt.27 De Geschillenkamer beschouwt deze problemen echter als volgend uit de
initiële problemen bij – en, zoals verder gemotiveerd, inbreuken op – de in de in het vorige
randnummer genoemde bepalingen, zowel bij het vaststellen van de verwerkingsmiddelen als de
verwerking zelf.

26 Vergelijk artikel 26, lid 3 AVG: “ongeacht de voorwaarde van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten
uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.”
27 Vaststelling 13 verslag Inspectiedienst.
Beslissing ten gronde 82/2020- 32/48
107. In de strikte lezing van de AVG moet er een verwerking zijn van persoonsgegevens, vooraleer
een inbreuk op artikel 5 AVG kan worden vastgesteld. In theorie is het immers mogelijk dat er
geen enkele betrokkene zich via een gebruikersaccount en met het invoeren van
persoonsgegevens authentiseert om toegang te krijgen tot Fisconetplus, waardoor er geen
verwerking van persoonsgegevens is en dus ook geen inbreuk op de bepalingen inzake de
bescherming van persoonsgegevens kan worden vastgesteld.28
108. Te dezen blijkt de klager, louter op basis van de stukken die hij heeft voorgelegd, zich niet te
hebben ingelogd middels een gebruikersaccount. De schermafbeeldingen geven immers enkel het
inlogscherm weer, en niet het gebruik van Fisconetplus nadat de klager zich reeds authentiseerde.
109. In die zin kan niet worden aanvaard in het licht van de bevoegdheden van de toezichthoudende
autoriteiten,29 alsook in het licht van het belang van persoonsgegevensbescherming,30 dat de
rechtsbescherming van burgers via de Gegevensbeschermingsautoriteit enkel mogelijk zou zijn
wanneer een daadwerkelijke verwerking aanleiding geeft tot een inbreuk, en niet wanneer een
betrokkene een bepaalde verwerking als praktijk weigert omdat zij of hij dit niet in
overeenstemming met het waarborgen van de eigen rechten beschouwt.
110. De Europese wetgever heeft om die reden ook voorzien in een artikel 25 AVG, die de
verwerkingsverantwoordelijke verplicht bepaalde maatregelen te nemen om zich te conformeren
aan de bepalingen die vervat liggen in de AVG, voor eventuele en/of toekomstige
persoonsgegevensverwerkingen, en met name “bij de bepaling van de verwerkingsmiddelen”.31
Artikel 25 AVG specificeert de algemene verplichting van een verwerkingsverantwoordelijke om
passende technische en organisatorische maatregelen te nemen (de “verantwoordingsplicht”,
zoals vastgelegd in artikel 24 AVG).
111. De Geschillenkamer beschouwt de naleving van de beginselen inzake
persoonsgegevensverwerking vervat in artikel 5 AVG, dan ook in het licht van de verplichtingen in
hoofde van een verwerkingsverantwoordelijke op grond van artikel 25 AVG, hetgeen luidt:

28 Vergelijk mutatis mutandis de motivering bij de vernietiging van een beslissing van de Geschillenkamer door het Marktenhof,
waar de Geschillenkamer in die beslissing een inbreuk op artikel 5, lid 1, punt c) AVG vaststelde: Arrest Hof van Beroep (Kamer
19A) van 19 februari 2019, X t. GBA, rolnr. 2018/AR/1600, 27: “Er werd door de klaagster in casu geen EID-kaart aangeboden
en er is dus geen enkele verwerking van haar gegevens gebeurd. Derhalve toont de GBA geen daadwerkelijke inbreuk in
verband met persoonsgegevens aan.” ‘ (de Geschillenkamer onderlijnt).
29 Specifiek artikel 58 AVG en de nationale uitvoeringsbepalingen in de WOG.
30 De bescherming van persoonsgegevens ligt vervat in artikel 8 van het Handvest van de grondrechten van de Europese Unie.
31 Voor toelichting omtrent de link tussen artikel 25 en de beginselen inzake de verwerking van persoonsgegevens, zie
Richtsnoeren Comité voor Gegevensbescherming (EDPB) 4/2019 van 20 oktober 2020 omtrent gegevensbescherming door
ontwerp en standaardinstellingen (v. 2.0.), beschikbaar via:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_
en.pdf. 
Beslissing ten gronde 82/2020- 33/48
“1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de
omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en
ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan
de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling
van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en
organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de
gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende
manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van
de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische
maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt
die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de
hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn
waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen
met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor
een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt
als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is
voldaan.” (de Geschillenkamer onderlijnt)
2.4.2. De rol van Microsoft als derde dienstenaanbieder en Aanbeveling 1/2019
112. De verweerder heeft in haar repliekconclusie duidelijk gemaakt dat aan betrokkenen bij het
gebruik van Fisconetplus steeds de keuze werd gelaten te kiezen om zich te authentiseren middels
een eigen Microsoft-account (dat persoonsgegevens bevat), of via een anoniem Microsoftaccount, hetgeen in beginsel geen persoonsgegevens bevat – maar waar de Inspectiedienst wijst
op het plaatsen van verschillende cookies die afbreuk zouden doen aan de anonieme waarde van
het gebruikersaccount.32
113. De verweerder wijst er in haar negende middel op dat nergens uit de lezing van de bepalingen
van de AVG blijkt dat de toegang tot overheidsinformatie gevrijwaard moet worden van de
tussenkomst van een derde dienstenaanbieder, zolang de AVG wordt nageleefd. De
Geschillenkamer beschouwt dat dit geen getrouwe weergave is van de situatie op het ogenblik

32 Voor een uiteenzetting omtrent het gebruik van cookies door de verweerder, zie infra onderdeel 2.6.
Beslissing ten gronde 82/2020- 34/48
van de klacht, waar bij de de facto meest gebruiksvriendelijke toegangsoptie tot Fisconetplus de
persoonsgegevens van betrokkenen actief door de derde dienstenaanbieder worden verzameld en
verder verwerkt, teneinde toegang te krijgen tot het platform van de verweerder. Dit is met name
het geval bij het gebruik van een nieuw of reeds bestaand (eigen) Microsoft gebruikersaccount.
114. De rechtsbasis voor het probleem waarom de tussenkomst van met name die dienstenaanbieder
als problematisch kan worden beschouwd in bepaalde gevallen, ligt inderdaad niet vervat in
aanbevelingen – zoals de verweerder terecht opmerkt – maar wel in de wetgeving zelf. De
Geschillenkamer wijst er echter op dat de interpretatie van de wetgeving een onderzoek vereist
van feitelijke elementen, en een toepassing van de wetgeving op die elementen, onder de
verantwoordelijkheid van de verwerkingsverantwoordelijke bij het bepalen van de
verwerkingsmiddelen (artikel 25, lid 1 AVG).
115. In een voortdurend veranderende en complexe digitale omgeving waarbinnen persoonsgegevens
worden verwerkt, is er daarom een adviserende rol voor de toezichthoudende autoriteiten voorzien
door de wetgever, bijvoorbeeld om te kunnen inspelen op maatschappelijke vragen en noden,
alsook bepaalde tendensen. De Geschillenkamer wijst te dezen op de wettelijk vastgelegde
bevoegdheden in artikel 58, lid 3 AVG en de concreet geregelde rol dienaangaande voor het
Kenniscentrum van de GBA in artikel 23 e.v. WOG.
116. In Aanbeveling 1/2019 van 6 februari 2019 heeft het Kenniscentrum inderdaad een aanbeveling
betreffende het opleggen van de verplichte aanmaak van een gebruikersaccount bij Microsoft voor
het raadplegen van toepassingen van overheidsdiensten verstrekt, in overeenstemming met de
voornoemde rechtsbepalingen. Die aanbeveling verduidelijkt hetgeen de wetgeving vereist in
hoofde van onder meer de verweerder als overheidsdienst, zonder op zichzelf bindend te zijn voor
de verweerder.
117. De Geschillenkamer onderstreept dat zij in voorliggende beslissing sanctionerend optreedt ten
aanzien van de verweerder op basis van de wetgeving, maar ook dat die wetgeving werd
verduidelijkt in een aanbeveling van het Kenniscentrum, waardoor bezwaarlijk kan gesteld worden
dat de concrete interpretatie van de wetgeving onduidelijk zou geweest zijn. De verweerder lijkt
dit overigens zelf te bevestigen, gezien zij maatregelen noodzakelijk acht na het kennis nemen
van de Aanbeveling 1/2019 en in haar repliekconclusie stelt: “Na kennisname van de Aanbeveling
heeft de FOD Financiën maatregelen genomen om de inhoud van deze Aanbeveling na te leven.
Zo werd er besloten om in een eerste fase een tussentijdse oplossing te implementeren die later
zou worden gevolgd door een definitieve oplossing.”.
33

33 Repliekconclusie verweerder, rn. 15.
Beslissing ten gronde 82/2020- 35/48
118. De Aanbeveling 1/2019 verstrekt verwerkingsverantwoordelijken een aanbeveling omtrent de
interpretatie van de wettelijke norm. In haar derde middel van haar repliekconclusie stelt de
verweerder terecht dat een aanbeveling geen wettelijke kracht heeft. Niettemin is een aanbeveling
als vorm van soft law een geaccepteerd instrument om houvast te geven, waar de wettelijke norm
ruimte laat. Daar komt bij dat de verweerder de juistheid van de uitleg van de wettelijke norm in
de aanbeveling in casu niet in twijfel trekt.
2.4.3. De inbreuk op artikel 5, lid 1, punt a) j° artikel 25 AVG
119. De Geschillenkamer stelt vast dat de verzameling en het structureren van bepaalde documentatie
door betrokkenen via een website van de overheidsdienst die (mede) toezicht houdt op de fiscale
wet- en regelgeving, gevoelig kan zijn wanneer dit geassocieerd wordt met een burger (als
betrokkene). Zo kan er gedacht worden aan het verzamelen van bepaalde informatie door de
betrokkene in het kader van diens verweer in een procedure bij die overheidsdienst. In de
onderhavige situatie zou de verweerder uit bepaalde opzoekingen door geïdentificeerde burgers
informatie kunnen afleiden die zij tegen de betrokken burger zou kunnen gebruiken, in de
vaststelling van de te betalen belasting.
120. Het is vanzelfsprekend dat de persoonsgegevens van de betrokkene die geassocieerd worden
met zulke informatie, op een behoorlijke en transparante wijze dienen te worden verwerkt.
121. Daarnaast wijst de Geschillenkamer erop dat de verweerder wel degelijk informatie aanbiedt op
een manier die geen gebruik van een (al dan niet ‘anoniem’) gebruikersaccount van Microsoft
vereist, namelijk via de “basiszoekmotor van Fisconetplus via Myminfin.be”. De Geschillenkamer
merkt echter op dat het niet is omdat er een (overigens met minder functionaliteiten omgeven)
optie bestaat waarbij geen of minder persoonsgegevens worden verwerkt, de
toegangsmogelijkheden waar wél persoonsgegevens worden verzameld en verder verwerkt
minder bescherming onder de AVG zouden genieten.
122. Wel betekent de mogelijke toegang tot de informatie via de basiszoekmotor zónder het inloggen
via een gebruikersaccount, dat er geen sprake kan zijn van een inbreuk op artikel 6, lid 1 AVG,
gezien de toegang tot de informatie an sich niet uitgesloten is zonder het aanwenden van een
gebruikersaccount van Microsoft. Het vrije karakter van de toestemming bij het gebruik van het
Microsoft gebruikersaccount is te dezen daarom niet problematisch.
Beslissing ten gronde 82/2020- 36/48
123. In haar onderzoek naar aanleiding van het opstellen van Aanbeveling 1/2019 heeft het
Kenniscentrum gewezen op enkele aspecten die eigen zijn aan het gebruik van Microsoft
gebruikersaccount, waarbij bijvoorbeeld gegevens over surf- en zoekactiviteit en andere online
activiteiten die gerelateerd zijn aan het Microsoft account van de betrokken gebruiker verder
worden gebruikt door Microsoft.34
124. Wanneer de meest gebruiksvriendelijke optie van de toegang tot Fisconetplus gebeurt middels
het gebruik van een (al dan niet ‘anoniem’) gebruikersaccount van Microsoft, kan niet gesteld
worden dat de persoonsgegevens van betrokkenen op transparante en behoorlijke wijze worden
verwerkt, noch dat bij het bepalen van de verwerkingsmiddelen voldoende technische en
organisatorische maatregelen werden genomen om die beginselen te waarborgen, in de zin van
artikel 5, lid 1, punt a) j° artikel 25, lid 1 AVG. Dit is het geval nu een toegangsmogelijkheid waarbij
een Microsoft gebruikersaccount wordt vereist, impliceert dat persoonsgegevens van betrokkenen
niet op een behoorlijke wijze kunnen worden verwerkt. Daarnaast legt de verweerder op
onvoldoende transparante wijze aan (potentiële) betrokkenen uit op welke manier de
persoonsgegevens van de betrokkenen, en de geassocieerde informatie die verwerkt wordt via
Fisconetplus op een Sharepoint Online platform, verder door Microsoft gebruikt worden, niet
gebruikt worden, dan wel gebruikt zouden kunnen worden voor het verder verfijnen of
commercialiseren van Microsofts eigen diensten en (digitale) producten.
De inbreuk op artikel 5, lid 1, punt c) j° artikel 25 AVG
125. De Geschillenkamer wees er reeds op dat de omstandigheden waarbinnen de verweerder de
informatie op haar website aanbiedt, een zekere gevoeligheid impliceren, en daarom de nodige
(voor-)zorg bij de behandeling van geassocieerde persoonsgegevens vereisen. De
Geschillenkamer stelt vervolgens vast dat de mogelijkheid dat een anoniem gebruikersaccount van
Microsoft kan aangewend worden om gebruik te maken van Fisconetplus, waar dat account met
willekeurig toegewezen inloggegevens op zijn minst in theorie minder persoonsgegevens
verzamelt en verder verwerkt, per definitie bewijst dat de toegangsoptie waarbij
persoonsgegevens worden verwerkt van een nieuw of reeds bestaand Microsoft account, meer
persoonsgegevens verwerkt dan strikt noodzakelijk in de zin van artikel 5, lid 1, punt c) AVG.
126. Om de voorgaande reden begaat de verweerder een inbreuk op het beginsel van minimale
gegevensverwerking vervat in artikel 5, lid 1, punt c) j° artikel 25, lid 1 AVG, door aan de
betrokkenen een toegangsmogelijkheid – overigens de facto de meest gebruiksvriendelijke
toegangsmogelijkheid – aan te bieden, waarbij de verwerking van persoonsgegevens niet
noodzakelijk is voor de doeleinden (d.i. toegang tot Fisconetplus) waarvoor zij worden verwerkt,

34 Aanbeveling 1/2019, rn. 8. 
Beslissing ten gronde 82/2020- 37/48
en met de tussenkomst van en verwerking van die persoonsgegevens door een derde
dienstenaanbieder, met name Microsoft.
2.5. Het verrichten van een Gegevensbeschermingseffectbeoordeling (DPIA, artikel 35
AVG)
127. De Inspectiedienst wijst in haar verslag op de noodzaak om een DPIA te verrichten. Volgens de
argumentatie van de verweerder kan “geconcludeerd worden dat er geen noodzaak was tot het
uitvoeren van een [DPIA] door de [verweerder] als verwerkingsverantwoordelijke met betrekking
tot de website van Fisconetplus”.
35
128. Artikel 35 AVG luidt als volgt:
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe
technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden
daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke
personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van
het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge
risico's inhouden.
2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens
advies in.
3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de
volgende gevallen: a) een systematische en uitgebreide beoordeling van persoonlijke aspecten
van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder
profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon
rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk
treffen; b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als
bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen
en strafbare feiten als bedoeld in artikel 10; of c) stelselmatige en grootschalige monitoring
van openbaar toegankelijke ruimten.

35 Repliekconclusie verweerder, rn. 191.
Beslissing ten gronde 82/2020- 38/48
4. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een
gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze
openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde
Comité.
5. De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort
verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De
toezichthoudende autoriteit deelt deze lijst mee aan het Comité.
6. Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met
betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren
van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van
persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde
toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in artikel 63
bedoelde coherentiemechanisme toe.
7. De beoordeling bevat ten minste:
a) een systematische beschrijving van de beoogde verwerkingen en de
verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die
door de verwerkings-verantwoordelijke worden behartigd;
b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking
tot de doeleinden;
c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van
betrokkenen; en
d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen,
veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te
garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van
de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
8. Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of
verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 bedoelde goedgekeurde
gedragscodes naar behoren in aanmerking genomen.
9. De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun
vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming 
Beslissing ten gronde 82/2020- 39/48
van de bescherming van commerciële of algemene belangen of de beveiliging van
verwerkingen.
10.Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft
in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van
toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt
geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de
vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd,
zijn de leden 1 tot en met 7 niet van toepassing, tenzij de lidstaten het noodzakelijk achten
om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.
11.Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of
de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd,
zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen
inhouden.
129. De Geschillenkamer is van oordeel dat er bij het verwerken van persoonsgegevens door de
verweerder voor een toegangsmogelijkheid tot Fisconetplus met de vereiste van het aanwenden
van een Microsoft gebruikersaccount wel degelijk sprake is van een “hoog risico” voor “de rechten
en vrijheden van natuurlijke personen” zoals bedoeld in artikel 35, lid 1 AVG. Er zijn een aantal
elementen opgeworpen door de Inspectiedienst die leiden tot dit besluit van de Geschillenkamer
(verslag van de Inspectiedienst):
“a) De Fisconetplus-dienst is ondergebracht in de federale G-cloud, die zelf ontwikkeld is op
het Microsoft platform dat eigendom is van Microsoft (pagina 28 van stuk 13 en stuk 14). De
eigenaar van gcloudbelgium.sharepoint.com blijkt volgens het technisch verslag Microsoft
Corporation (afbeeldingen 18 en 19 van stuk 13). Het technisch onderzoek van de GBA wijst
ook op het probleem dat de Fisconetplus-dienst wordt aangeboden op de infrastructuur van
Microsoft (opmerking bij afbeelding 18 van stuk 13). Dergelijke “hybride cloud”
technologie aangeboden door derde partijen buiten de EU heeft bijzondere risico’s
gekoppeld aan elementen
36 die overheden zorgvuldig dienen te bestuderen, met behulp van
het afsluiten van bijkomende contractuele waarborgen en het toepassen van aangepaste
standaarden die werden ontwikkeld voor cloud technologie zoals ISO/IEC 17788:2014 en
ISO/IEC 17789:2014.

36
“de locatie van de back-ups, de opsplitsing van onderdelen van de verwerking die niet binnen EU blijven (opsplitsing tussen
bewaren in EU en verwerken buiten de EU) of delen van het platform die onderliggend wel buiten België staan, de toegang
van
Microsoft tot de data, het eigenaarschap van de encryptiesleutels, het gebrek aan autonomie van de FOD Financiën bij het
gebruiken van een standaardoplossing van Microsoft, de toegang door overheidsorganen in de VS indien Microsoft gevat zou
worden door een subpoena, de ongekende locatie en bewaringstermijn van deze oplossingen”
Beslissing ten gronde 82/2020- 40/48
Voor zover de inspectiedienst kon nagaan heeft de FOD Financiën op dat vlak geen bijkomende
waarborgen toegepast (zie het gebrek aan een concreet antwoord dienaangaande vermeld
onder de verantwoordingsplicht hiervoor).
[…]
c) Er is door de doorgifte van informatie aan (opslag bij) Microsoft sprake van bewerkingen
die op zich een verlies aan controle voor de betrokkene op zijn persoonsgegevens tot
gevolg hebben en een verminderde mogelijkheid om de rechten onder de AVG uit te oefenen
ingevolge een gebrek aan transparantie en onjuiste informatie (aangaande de mogelijkheid
om een “anonieme account” af te sluiten”) die de FOD Financiën hierover verschaft over de
werkelijke verrichtingen door Microsoft met de persoonsgegevens van de Fisconetplus
gebruikers met een persoonlijke account. Het voorgaande wordt ook geïllustreerd door de
zeer breed verwoorde voorwaarden van de gratis Microsoft account
37 waaronder de gebruiker
Microsoft een “wereldwijde en royaltyvrije intellectuele eigendomslicentie voor het gebruik van
zijn inhoud” geeft (derhalve dus ook zijn persoonsgegevens). Er is geen indicatie dat de FOD
Financiën het derdenpartijenrisico op Microsoft heeft onderzocht, of beperkt met contractuele
waarborgen.
d) De FOD Financiën doet continu beroep op een derde partij om de (authenticatie)dienst
te leveren wat in combinatie met andere criteria een verhoogde impact heeft op het risico op
inbreuken in verband met persoonsgegevens voor de betrokkene
38
(zie pagina 28 van stuk
13).
e) In het technisch onderzoeksrapport […] is aangetoond dat gebruikers van de Fisconetplusdienst (via het Sharepoint platform) worden geprofileerd door een private onderneming

37
“https://www.microsoft.com/nl-be/servicesagreement/ bevat de bepaling “Voor zover noodzakelijk om de Diensten aan u
en
anderen te leveren (mogelijk met inbegrip van het wijzigen van de afmetingen, vorm of indeling van Uw Inhoud om deze
beter
te kunnen opslaan of weer te geven aan u), om u en de Diensten te beschermen en om de producten en diensten van
Microsoft
te verbeteren, verleent u Microsoft een wereldwijde en royaltyvrije intellectuele eigendomslicentie voor het gebruik van Uw
Inhoud, bijvoorbeeld, om kopieën te maken van Uw Inhoud of om Uw Inhoud te bewaren, verzenden, anders in te delen, te
distribueren via communicatiemiddelen en weer te geven op de Diensten. Indien u Uw Inhoud publiceert in onderdelen van
de
Dienst waar deze online onbeperkt toegankelijk wordt weergegeven, kan Uw Inhoud worden opgenomen in demonstaties of
materialen ter promotie van de Dienst. Sommige Diensten worden ondersteund door advertenties. Instellingen voor de wijze
waarop Microsoft advertenties persoonlijk afstemt zijn beschikbaar op de pagina Beveiliging en privacy van de Microsoftwebsite
voor accountbeheer. We maken geen gebruik van wat u zegt in e-mail, chat, videogesprekken of voicemail, of in uw
documenten,
foto's of andere persoonlijke bestanden om gericht te kunnen adverteren. Ons advertentiebeleid wordt in detail beschreven in
de Privacyverklaring“
38
“Zie pagina 7 van de opinie van de EDPB 05/2018 gepubliceerd op https://edpb.europa.eu/sites/edpb/files/files/file1/2018-
09-25-opinion_2018_art._64_de_sas_dpia_list_en.pdf. »
Beslissing ten gronde 82/2020- 41/48
die de authenticatiedienst aanbiedt. De informatie die de betrokkene heeft gegeven aan
Microsoft voor de creatie van een outlook mailaccount wordt gebruikt om een Fisconetplus
account aan te maken. Indien de gebruiker via de tweede website een profiel aanmaakt, wijst
het technisch onderzoeksverslag uit dat sprake is van een gepersonaliseerd profiel
gekoppeld aan een persoonlijk mailadres van de betrokkene (tekst bij afbeelding 12 van stuk
13). De account die hierbij wordt aangemaakt is wel degelijk een Microsoft account. Er worden
ook authenticatieprotocollen van Microsoft gebruikt (tekst bij afbeeldingen 16 en 17 van stuk
13).
De FOD Financiën heeft geen enkele controle over de wijze waarop verder wordt omgegaan
door Microsoft met deze profielinformatie.
f) In het voorgaande geval (aanloggen via het Sharepoint Online platform) is blijkens het
technisch onderzoeksrapport […] ook sprake van het matchen en samenvoegen van
datasets door Microsoft. Als de betrokkene aanlogt via het Sharepoint platform met zijn
Microsoft mailadres, koppelt Microsoft dit aan gegevens die de betrokkene niet heeft verstrekt
aan de FOD Financiën maar aan de eigen gegevens waarover Microsoft beschikt (de naam,
locatie en geboortedatum van de betrokkene).
g) Er is een cumulatie van het gebrek aan transparantie bij de elkaar opeenvolgende
gegevens-stromen (zie de vaststellingen van de gebrekkige transparantie bij de FOD Financiën
en Microsoft).”
130. Om de voorgaande reden had de verweerder dus wel degelijk een DPIA moeten uitvoeren voor
de verwerking van persoonsgegevens gekoppeld aan de opties voor toegang tot de Fisconetplusdienst met authenticatie gelet op de kenmerken van de verwerking, ook gezien het ontbreken van
aangetoonde specifieke waarborgen voorzien door de verweerder ter bescherming van de
persoonsgegevens van betrokkenen.
131. Meer bepaald is er door het gebruik van de authenticatiemethode via een derde onderneming
(de gebruikersaccounts van Microsoft), die als verwerkingsverantwoordelijke zonder concrete
instructies van de verweerder de persoonsgegevensverwerkingen middels de gebruikersaccounts
via Fisconetplus technisch kan verbinden met persoonsgegevensverwerkingen die niets te maken
hebben met de website van de verweerder, dan wel de activiteiten van de verweerder, sprake van
de in het artikel 35, lid 1, punt a) AVG bedoelde “systematische en uitgebreide beoordeling van
persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde
verwerking” waarop besluiten worden gebaseerd die de natuurlijke persoon “wezenlijk treffen”.
132. De Geschillenkamer stelt dan ook een overtreding van artikel 34 AVG vast.
Beslissing ten gronde 82/2020- 42/48
2.6. Het plaatsen van cookies via Fisconetplus en gegevensbescherming door
ontwerp en standaardinstellingen (artikelen 4, 6, 7 en 25 AVG; artikel 5 eprivacyrichtlijn)
133. De Inspectiedienst kwam tot de vaststelling dat de verweerder ‘further browsing’ (‘verder surfen’)
op beide websites beschouwt als toestemming voor het gebruik van cookies, ook als die cookies
niet noodzakelijk zijn voor de goede werking van de website.
134. Aan de ene kant wijst de Inspectiedienst op het feit dat ‘verder gebruik’ niet hetzelfde is als
toestemming geven onder de AVG. Aan de andere kant stelt de Inspectiedienst vast dat het
cookiebeleid van de verweerder tekort schiet: “In het beleid is er geen onderscheid tussen de
verschillende soorten cookies of ‘traceurs’. [Het is] onmogelijk voor de [betrokkene] om informatie
omtrent de verschillende cookies te verkrijgen, maar ook omtrent cookies waarvoor [de
betrokkene] het recht heeft om zijn toestemming te geven (niet-essentiële cookies).”.39 Bovendien
blijkt uit een vergelijking tussen de in het cookiebeleid opgesomde cookies en de bij het openen
van de website geladen cookies, dat de opsomming in het cookiebeleid niet volledig (exhaustief)
is en niet volledig correct is.
135. De Inspectiedienst stelt vast dat de verweerder gebruikt maakt van verschillende zogenaamde
‘session’-cookies (figuur 4 technisch verslag). Dergelijke ‘session’-cookies zijn ‘non-persistent’
cookies wat betekent dat zij enkel aanwezig zijn tijdens de sessie, d.w.z. zolang de webbrowser
geopend is. Zij blijven niet voortbestaan over verschillende sessies heen. Het feit dat een cookie
slechts tijdelijk wordt opgeslagen staat evenwel niet gelijk aan het feit dat deze cookie louter
technisch en noodzakelijk zou zijn.
136. De Geschillenkamer beschouwt de problematiek in verband met cookies naargelang de
verschillende toegangsmogelijkheden tot FisconetPlus. Aan de ene kant zijn er cookies die door
de verweerder zelf geplaatst zijn, aan de andere kant is er een toegangsmogelijkheid via Microsoft,
waar er cookies door Microsoft geplaatst werden.
137. Wat de eerste toegangsmogelijkheid betreft, stelt de Inspectiedienst vast dat er dertien cookies
actief zijn. De Geschillenkamer is van mening dat deze praktijk van de verweerder niet
sanctioneerbaar is, daar er feitelijke grondslag ontbreekt in de vaststellingen van de
Inspectiedienst omtrent de al dan niet-essentiële aard van die cookies. Daarom wenst de

39 Vrije vertaling van het Franstalige technisch verslag: “Dans la politique, il n’y a aucune différentiation entre les différents
types de cookies ou traceurs. Impossible pour l’utilisateur d’avoir l’information sur les différents cookies, mais aussi sur les
cookies pour lesquels il a droit d’exprimer son consentement. (Cookies non strictement nécessaire)”.
Beslissing ten gronde 82/2020- 43/48
Geschillenkamer er prima facie en op basis van de verweermiddelen in de conclusies van de
verweerder van uit te gaan dat deze dertien cookies effectief technisch noodzakelijke cookies
betreffen, en dat ze om die reden essentieel zijn. In toepassing van artikel 5, lid 3 e-privacyrichtlijn
geldt het toestemmingsvereiste niet voor dit type cookies.
138. De Geschillenkamer benadrukt echter wel het belang van een wettelijk correct cookiebeleid.
Teneinde correcte informatie te verschaffen aan de eindgebruiker, en zo bovendien transparantie
te bekomen, mag er geen discrepantie bestaan tussen de in het cookiebeleid opgesomde cookies
en de in realiteit geplaatste cookies, hetgeen in casu het geval bleek gezien het ontbreken van de
vermelding van één cookie, hetgeen ook wordt erkend door de verweerder in haar
repliekconclusie.
139. Wat de tweede toegangsmogelijkheid betreft (via Microsoft) verwijst de Geschillenkamer naar
onderdeel 3.3. van de voorliggende beslissing. Daar werd uiteengezet dat de verweerder wel
degelijk als (mede)verwerkingsverantwoordelijke moet beschouwd worden samen met Microsoft,
voor de verwerkingen uitgevoerd door die laatste op de website van de verweerder, waar de
verweerder gebruik maakt van het authenticatieproces van Microsoft. Dit is niet anders voor het
plaatsen van cookies en de daarbij horende verwerking van persoonsgegevens.
140. De samenhang tussen de toegang tot de dienst van de verweerder en de inlogfaciliteiten van
Microsoft is immers zo sterk dat de verweerder mede verantwoordelijk is voor de cookies die bij
de gebruiker geplaatst worden door Microsoft. De verweerder maakte bovendien een bewuste
keuze om samen te werken met Microsoft.
141. Uit de vaststellingen van de Inspectiedienst40 blijkt dat Microsoft 54 cookies plaatst bij de
eindgebruiker, waaronder ook niet louter ‘essentiële’ cookies. Het onderliggende onderzoek van
de Inspectiedienst is technisch en uitgebreid (het technisch rapport alleen al omvat 42 bladzijden)
van aard, en de Geschillenkamer verwijst in onderhavige beslissing dan ook louter in grote lijnen
naar hetgeen aldaar wordt vastgesteld.
142. De Geschillenkamer verwijst in het bijzonder naar het technisch verslag waar de Inspectiedienst
stelt dat de cookies die bij de authenticatie met het Microsoft gebruikersaccount worden geplaatst
(zowel het ‘anoniem’ als het ‘normaal’ gebruikersaccount), niet alle essentiële cookies betreffen,
en verwijst naar het type “ANON” en “NAP”, waarvan het onderzoek van de Inspectiedienst uitwijst
dat de cookies aangewend worden voor marketing, personalisatie en operationele doeleinden van

40 Technisch Rapport pg. 33-38.
Beslissing ten gronde 82/2020- 44/48
Microsoft.41 Bovendien kunnen de cookies ook een heel aantal persoonsgegevens zoals leeftijd,
taal, postcode e.d. linken aan het Microsoft profiel.
143. De Geschillenkamer stelt vast dat het hier wel degelijk gaat om cookies die 1) niet essentieel zijn
en 2) persoonsgegevens verzamelen (aldus verwerken in de zin dan de AVG). Het gebruik van
dergelijke cookies is onderworpen aan een informatieplicht (artikel 10 e-privacyrichtlijn en artikel
13 AVG) en een toestemming gegeven door de eindgebruiker (artikel 5, lid 3 e-privacyrichtlijn en
artikelen 6 en 7 j° 4, punt 11 AVG).
144. De Geschillenkamer brengt in herinnering dat verder gebruik (of zgn. ‘further browsing’) niet
gelijk kan gesteld worden met geven van een geldige toestemming onder de AVG en de eprivacyrichtlijn. Dit laatste vereist immers o.b.v. artikelen 4, punt 11; 6, lid 1, punt a) en 7 AVG,
alsmede op basis van artikel 5, lid 3 e-privacyrichtlijn, een vrije, specifieke, duidelijke,
ondubbelzinnige en actieve toestemming.
145. Zo’n toestemming voldoet niet aan de wettelijke voorwaarden wanneer de betrokkene na het
zien van een melding over het gebruik van cookies op een website diens gebruik van die website
verder zet.
42 In de door de Inspectiedienst vastgestelde situatie waarbij de verweerder berust op
‘further browsing’ in plaats van een volwaardige cookie-banner met een rechtmatige toestemming,
stelt de Geschillenkamer – gezien het ontbreken van de mogelijkheid tot een rechtsgeldige
toestemming op het moment van het bepalen van de verwerkingsmiddelen – een inbreuk vast op
artikelen 6, 7 juncto 4, punt 11 en 25, lid 1 AVG.
2.7. De andere vaststellingen van de Inspectiedienst (artikelen 31, 38 en 39
AVG)
146. De Inspectiedienst stelt onder meer dat de verweerder artikel 38 en artikel 39 schendt, omwille
van het “niet tijdig betrekken” van de FG “bij de aanpassing van de Fisconetplus-dienst” alsook
wegens het ontbreken van een “duidelijk onderscheiden standpunt” tussen dat van de FG en “het
voorzitterschap van de [verweerder].”

41 Zie technisch verslag 37-38: “Par contre, ceux déposés indirectement par la partie tierce, ne le sont pas tous. En effet, nous
y trouvons entre autres les cookies « ANON » ; « NAP » ; pour lesquels nous avons la confirmations que ce sont des cookies
marketing, et de tracking: ANON : Contains the ANID, a unique identifier derived from your Microsoft account, which is used
for advertising, personalization, and operational purposes. It is also used to preserve your choice to opt out of interest-based
advertising from Microsoft if you have chosen to associate the opt-out with your Microsoft account; NAP : Contains an encrypted
version of your country, postal code, age, gender, language and occupation, if known, based on your Microsoft account profile”.
42 Zie Beslissing van de Geschillenkamer 12/2019 van 17 december 2019; Arrest HvJEU van 1 oktober 2019, Planet49 GmbH,
C-673/17, ECLI:EU:C:2019:801.
Beslissing ten gronde 82/2020- 45/48
147. Naar het oordeel van de Geschillenkamer hangen de onduidelijkheden die zijn ontstaan bij de
antwoorden van de verweerder, respectievelijk de FG, nauw samen met de inbreuken die de
verweerder begaat in het licht van artikel 5, lid 1, punten a) en c) AVG. In die zin leiden de
vaststellingen van de Inspectiedienst inzake artikel 38 en artikel 39 AVG naar het oordeel van de
Geschillenkamer niet tot bijkomende inbreuken op de wetgeving in hoofde van de verweerder.
148. Voor wat betreft de naleving van de medewerkingsplicht vervat in artikel 31 AVG, oordeelt de
Geschillenkamer eveneens dat er zich geen inbreuk voordoet, nu de verweerder terecht aanhaalt
dat ook het recht van verdediging en het verbod op zelf-incriminatie moeten worden meegenomen
in de afweging met de medewerkingsplicht.43 Wanneer een verwerkingsverantwoordelijke
informatie verschaft omtrent haar interpretatie van een feitelijke of juridische situatie, waar de
Inspectiedienst of een ander orgaan van de GBA niet mee akkoord is, kan dit niet als een
bijkomende inbreuk ingevolge artikel 31 AVG worden gezien.

43 Repliekconclusie verweerder, rn. 155.
Beslissing ten gronde 82/2020- 46/48
3. Inbreuken op de AVG en de verzoeken van de klager
149. De Geschillenkamer acht inbreuken op de volgende bepalingen door de verweerder bewezen:
a. artikel 5, lid 1, punt a), j° artikel 25, lid 1 AVG, gezien de verweerder twee
toegangsmogelijkheden, met meer functionaliteiten dan de toegangsmogelijkheid waar
geen persoonsgegevens worden verwerkt, aanbood op haar website Fisconetplus middels
de authenticatie via een derde dienstenaanbieder, Microsoft, waarbij persoonsgegevens
werden verwerkt, waar dit om redenen uiteengezet in de voorgaande motivering, niet kan
gezien worden als een behoorlijke en transparante verwerking van persoonsgegevens op
het moment van de bepaling van de verwerkingsmiddelen;
b. artikel 5, lid 1, punt c), j° artikel 25, lid 1 AVG, gezien de verweerder een
toegangsmogelijkheid aanbood op haar website Fisconetplus waarbij de betrokkene
gebruik kon maken van een bestaand of nieuw gebruikersaccount van Microsoft (een niet
‘anoniem’ gebruikersaccount), waarbij persoonsgegevensverwerkingen noodzakelijk voor
de authenticatie werden gebruikt door Microsoft, hetgeen niet beantwoordt aan het
principe van minimale gegevensverwerking, op het moment van het bepalen van de
verwerkingsmiddelen;
c. artikel 35 AVG, gezien de verweerder een DPIA had moeten verrichten voor het gebruik
van de gebruikersaccounts van Microsoft via haar website Fisconetplus, nu het gebruik
van die derde dienstenaanbieder een waarschijnlijk hoog risico inhield voor de rechten en
vrijheden van natuurlijke personen;
d. artikelen 6, lid 1 en 7, j° 4, punt 11) en 25, lid 1 AVG, gezien er door het gebruik
van Microsoft gebruikersaccounts door de verweerder op haar website Fisconetplus, nietessentiële cookies werden geplaatst waar geen rechtsgeldige toestemming voor werd
verkregen, gezien de banner op de voornoemde website ook toestemming middels ‘further
browsing’ toeliet, op het moment van het bepalen van de verwerkingsmiddelen.
150. Gezien de verweerder in haar verweermiddelen ten opzichte van de Geschillenkamer heeft
aangegeven dat, ingevolge de voorlopige maatregel van de Inspectiedienst op grond van artikel
70 WOG en waartegen de verweerder niet bij de Geschillenkamer in beroep ging, de website op
heden niet langer een authenticatiemogelijkheid middels de Microsoft gebruikersaccounts
aanbiedt, acht de Geschillenkamer het niet noodzakelijk de verweerder tot het in
overeenstemming brengen van de verwerkingen te bevelen, maar zal de Geschillenkamer de
verweerder enkel berispen. Ingevolge artikel 220, §1, tweede lid van de Wet van 30 juli 2018
betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van
persoonsgegevens (B.S. 5 september 2018) is de Geschillenkamer niet bevoegd een geldboete in
de zin van artikel 83 AVG op te leggen aan overheidsorganen. 
Beslissing ten gronde 82/2020- 47/48
151. Gelet op het belang van transparantie met betrekking tot de besluitvorming van de
Geschillenkamer, wordt deze beslissing gepubliceerd op grond van artikel 100, §1, 16° WOG op
de website van de Gegevensbeschermingsautoriteit, waarbij de directe identificatiegegevens van
de genoemde partijen en natuurlijke personen mede zullen worden bekend gemaakt, gezien de
persoon van de klager, de specifieke bevoegdheden van verweerder en het belang van
transparantie hieromtrent ten overstaan van de buitenwereld. De Geschillenkamer wijst er voor
de volledigheid op dat de klager en de verweerder zich – na een vraag hieromtrent op de
hoorzitting – hiermee akkoord hebben verklaard, of althans geen argumenten hebben
aangedragen waarom de publicatie van de beslissing zonder weglating van hun directe
identificatiegegevens bijzonder nadelig zou zijn in hun respectieve hoofde.
Beslissing ten gronde 82/2020- 48/48
OM DEZE REDENEN,
beslist de Geschillenkamer van de Gegevensbeschermingsautoriteit, na beraadslaging, om de
verweerder:
- overeenkomstig artikel 100, §1, 5° WOG en artikel 58, lid 2, punt b) AVG te berispen
omwille van de inbreuken op artikelen 5, lid 1, punt a) en c); 6, lid 1; 7; 25, lid 1 en 35 AVG.
Tegen deze beslissing kan op grond van art. 108, §1 WOG, beroep worden aangetekend binnen een
termijn van dertig dagen, vanaf de kennisgeving, bij het Marktenhof, met de
Gegevensbeschermingsautoriteit als verweerder.
(get.) Hielke Hijmans
Voorzitter van de Geschillenkamer